微软在9月例行更新（Patch Tuesday）中，一共公布并修补了86个安全漏洞，其中包括81个新登记CVE编号的漏洞，以及5个出现在微软产品使用的第三方组件中的漏洞。长期分析微软每月例行更新的安全厂商Rapid7指出，本次微软实际上共修补了176个漏洞，其中很大一部分与云端服务中采用的Azure Linux、CBL-Mariner有关，主要出现在开源软件组件中，并未列于例行更新的安全更新指南（Security Update Guide，SUG）。最危险的安全漏洞甚至达到了CVSS评分10分的危险程度。

这项风险值满分的安全漏洞为CVE-2025-54914，出现在Azure Networking中，可被用于权限提升，属于访问控制不当的弱点（CWE-284），并且该漏洞CVSS评分达到10分，非常危险。微软强调，用户无需采取任何行动，他们记录这个漏洞的主要目的，是为了提供后续追踪的透明度。

从公告内容来看，微软对该漏洞的说明非常有限，难以从中了解其危险之处。Rapid7也表示，无法根据公告掌握漏洞的具体性质，但微软提到该漏洞是由内部研究人员发现的，这意味着目前外部可能无人掌握相关细节，尚无人能将其用于实际攻击，暂时无需过度担忧。不过，微软仅提及该漏洞影响Azure Networking，很可能在用户的云端资产需要通信时需要特别留意。

从CVSS评分来看，另一个接近满分的安全漏洞CVE-2025-55232也值得关注。此漏洞为远程代码执行（RCE）漏洞，出现在Azure高性能计算（High Performance Compute，HPC）套件中，CVSS风险评分为9.8。该漏洞出现在对不受信任数据的反序列化处理过程中，未授权的攻击者可通过网络环境执行任意代码。

值得一提的是，微软不仅发布了更新补丁，还要求用户确保HPC Pack运行在受信任的网络环境中，特别是在防火墙规则中，应对TCP端口5999进行适当限制。该端口为HpcScheduler的默认连接端口，用于协调HPC任务、资源管理以及集群通信。