- شناسه CVE-2025-21177 :CVE
- CWE-918 :CWE
- yes :Advisory
- منتشر شده: فوریه 6, 2025
- به روز شده: فوریه 14, 2025
- امتیاز: 7.8
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Dynamics 365 Sales
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری درخواست جعلی از سمت سرور (SSRF) در Microsoft Dynamics 365 Sales به مهاجم این امکان را میدهد که از طریق شبکه سطح دسترسی خود را ارتقا دهد. حمله میتواند از راه دور انجام شود. این محصول بهعنوان یک سرویس مدیریتشده ارائه میشود و کاربران قادر به اعمال تدابیر امنیتی برای مقابله با این آسیبپذیری بهصورت مستقل نیستند.
توضیحات
طبق طبقهبندی CWE، این مشکل در دسته CWE-918 قرار میگیرد، به این معنا که سرور وب درخواست URL یا مشابه آن را از یک بخش بالادستی دریافت میکند و محتویات آن را بازیابی میکند، اما به اندازه کافی اطمینان حاصل نمیکند که درخواست به مقصد مورد انتظار ارسال شده باشد. این آسیبپذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) تأثیر میگذارد.
اکسپلویت آن نسبتاً آسان توصیف شده است. این حمله میتواند از راه دور انجام شود، اما نیاز به تعامل کاربر و قربانی دارد.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected at N/A | Unknown | Dynamics 365 Sales |
لیست محصولات بروز شده
| Product | Impact | Max Severity |
| Dynamics 365 Sales | Elevation of Privilege | Critical |
نتیجه گیری
این آسیبپذیری به طور کامل توسط مایکروسافت برطرف شده است و کاربران این سرویس نیازی به انجام هیچ اقدامی ندارند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-21177
- https://www.cvedetails.com/cve/CVE-2025-21177/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21177
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21177
- https://vuldb.com/?id.294915
- https://nvd.nist.gov/vuln/detail/CVE-2025-21177
- https://cwe.mitre.org/data/definitions/918.html
