- شناسه CVE-2024-49054 :CVE
- CWE-357 :CWE
- yes :Advisory
- منتشر شده: نوامبر 22, 2024
- به روز شده: ژانویه 30, 2025
- امتیاز: 4.3
- نوع حمله: Unknown
- اثر گذاری: Spoofing
- حوزه: مرورگرها
- برند: Microsoft
- محصول: Microsoft Edge
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در مرورگر Microsoft Edge شناسایی شده است. مهاجم میتواند این حمله را از راه دور انجام دهد. توصیه میشود که نرمافزار را بروزرسانی کنید.
توضیحات
این آسیبپذیری تحت عنوان CWE-357 در نظر گرفته شده است، که مربوط به هشدار نادرست در رابط کاربری است. در این مشکل، رابط کاربری به کاربر هشدار میدهد که عملیاتی خطرناک یا حساس در حال انجام است، اما هشدار به قدر کافی گویا نیست تا جلب توجه کند. این مشکل بر یکپارچگی دادهها تأثیر میگذارد.
این آسیبپذیری بهراحتی امکانپذیر است و مهاجمان میتوانند از راه دور آن را اجرا کنند. هیچ نیازی به احراز هویت برای اکسپلویت این آسیبپذیری وجود ندارد، اما باید کاربر نوعی تعامل انجام دهد تا حمله موفقیتآمیز باشد.
مهاجم میتواند یک لینک طولانی برای دامنه دانلود ایجاد کند بهطوری که وقتی Edge کل URL را نمایش میدهد، بخش اصلی دامنه قطع میشود. کاربر باید روی یک لینک مخرب که بهصورت خاص طراحی شده است کلیک کند تا مهاجم بتواند اکسپلویت انجام دهد.
CVSS
| Score | Severity | Version | Vector String |
| 4.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| affected | Platforms | Product |
| affected from 1.0.0 before 131.0.2903.63 | Unknown | Microsoft Edge (Chromium-based) |
لیست محصولات بروز شده
| Product | Impact | Max Severity | Build Number |
| Microsoft Edge (Chromium-based) | Spoofing | Important | 131.0.2903.63 |
نتیجه گیری
ارتقا به نسخه 131.0.2903.63 این آسیبپذیری را برطرف میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2024-49054
- https://www.cvedetails.com/cve/CVE-2024-49054/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49054
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-49054
- https://vuldb.com/?id.285843
- https://nvd.nist.gov/vuln/detail/CVE-2024-49054
- https://cwe.mitre.org/data/definitions/357.html
