Palo Alto Networks 的 Windows 用户 ID 凭据代理中新披露的一个漏洞（编号为 CVE-2025-4235）可能在某些非标准配置下以明文形式泄露服务帐户的密码。

此缺陷会造成重大的安全风险，因为它可能允许非特权域用户利用受损帐户的权限来提升其特权。

该漏洞被评为中等严重程度。该信息泄露漏洞存在于基于 Windows 的用户 ID 凭据代理中，由特定的非默认设置触发。

该漏洞的主要危险在于潜在的权限提升。漏洞的影响程度取决于分配给相关服务帐户的权限级别。

如果该帐户具有最低限度的访问权限，攻击者就可能破坏用户 ID 凭证代理的操作。

Palo Alto Networks 用户 ID 凭证

这可能涉及卸载或禁用代理服务等操作，进而会削弱依赖于凭证网络钓鱼防护等功能的网络安全策略。

但是，如果服务帐户具有提升的权限（例如服务器操作员或域加入权限），则后果会更加严重。

攻击者可以控制服务器，关闭或重新启动服务器，通过添加恶意计算机对象来操纵域，或进行网络侦察。

根据Palo Alto Networks发布的安全公告，特定版本的User-ID Credential Agent受到此漏洞的影响。

Windows 上受影响的版本为 11.0.2-133 至 11.0.3 版本（但不包括）。11.0.2-133 之前的版本和 11.0.3 及更高版本不受影响。

为了解决此安全问题，Palo Alto Networks 建议客户将其 User-ID Credential Agent 升级到 11.0.3 或更高版本。

该公司表示，目前没有已知的解决方法可以缓解此问题，因此软件更新是唯一推荐的解决方案。

此漏洞的严重程度取决于配置。对于具有提升服务帐户权限的系统，该漏洞的严重程度被评为“中等”，CVSS 评分为 7.2。

对于具有最低权限服务帐户的配置，评级为“低”，CVSS 评分为 5.8。Palo Alto Networks 表示，尚未发现任何针对此漏洞的恶意利用。

此漏洞凸显了与错误配置相关的持续风险以及遵守安全最佳实践的重要性，尤其是在处理特权帐户时。