CVE-2025-21253

آسیب‌پذیری جعل هویت در Microsoft Edge برای iOS و Android

توسط Vulnerbyte Alerts 2025-02-06

نوشته شده توسط Vulnerbyte Alerts 2025-02-06

شناسه CVE-2025-21253 :CVE
CWE-451 :CWE
yes :Advisory
منتشر شده: فوریه 6, 2025
به روز شده: فوریه 14, 2025
امتیاز: 5.3
نوع حمله: T1566.003

اثر گذاری: Spoofing
حوزه: مرورگرها
برند: Microsoft
محصول: Microsoft Edge
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Microsoft Edge برای iOS/Android پیدا شده است. این مشکل مربوط به یک عملکرد ناشناخته است و دستکاری آن منجر به Clickjacking می‌شود. حمله می‌تواند از راه دور انجام شود. توصیه می‌شود که نسخه آسیب‌دیده به‌روزرسانی شود.

توضیحات

در این آسیب‌پذیری، رابط کاربری (UI) اطلاعات مهم را به درستی به کاربر نمایش نمی‌دهد، که این امر باعث می‌شود اطلاعات یا منبع آن مخفی یا جعل شود که معمولاً جزئی از حملات فیشینگ است. یک مهاجم که موفق به اکسپلویت این آسیب‌پذیری شود، می‌تواند برخی اطلاعات حساس (محرمانه) را مشاهده کند، اما ممکن است تمام منابع درون بخش آسیب‌دیده برای مهاجم افشا نشود. مهاجم نمی‌تواند اطلاعات افشا شده را تغییر دهد (یکپارچگی دست‌نخورده باقی می‌ماند) یا دسترسی به منابع را محدود کند (دسترس‌پذیری تحت تأثیر قرار نمی‌گیرد). این آسیب پذیری در دسته CWE-451 قرار دارد.

برای اکسپلویت موفق نیاز به هیچ نوع احراز هویتی نیست، اما به تعامل کاربر نیاز است.

CVSS

Score	Severity	Version	Vector String
5.3	MEDIUM	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 1.0.0 before 133.0.3065.51	Unknown	Microsoft Edge for Android
affected from 1.0.0.0 before 133.0.3065.51	Unknown	Microsoft Edge for iOS

لیست محصولات بروز شده

Product	Impact	Max Severity	Build Number
Microsoft Edge for iOS	Spoofing	Moderate	133.0.3065.51
Microsoft Edge for Android	Spoofing	Moderate	133.0.3065.51

نتیجه گیری

برای رفع این آسیب‌پذیری، به‌روزرسانی به نسخه 133.0.3065.51 توصیه می‌شود.

منابع

Vulnerbyte Alerts

پست قبلی

CVE-2025-21283

پست بعدی