- شناسه CVE-2025-21355 :CVE
- CWE-306 :CWE
- yes :Advisory
- منتشر شده: فوریه 19, 2025
- به روز شده: فوریه 21, 2025
- امتیاز: 8.6
- نوع حمله: Unknown
- اثر گذاری: Remote code execution(RCE)
- حوزه: مرورگرها
- برند: Microsoft
- محصول: BEAR
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Microsoft Bing شناسایی شده است. ایجاد تغییرات در ورودی منجر به عدم احراز هویت میشود. این آسیبپذیری با کد CVE-2025-21355 شناخته شده است. حمله از راه دور قابل انجام است. این محصول بهعنوان یک سرویس مدیریتشده است لذا کاربران قادر به اعمال تدابیر ضد آسیبپذیری بهطور مستقل نیستند.
توضیحات
طبق استاندارد CWE، این مشکل با کد CWE-306 شناخته شده است. در این آسیبپذیری، سیستم به درستی احراز هویت برای عملکردهایی که به شناسایی قابل اثبات کاربر نیاز دارند و یا منابع زیادی مصرف میکنند، انجام نمیدهد. این آسیبپذیری بر محرمانگی (Confidentiality) تأثیر میگذارد.
عدم احراز هویت برای عملکردهای حیاتی در Microsoft Bing به مهاجم اجازه میدهد تا کد دلخواه خود را از طریق شبکه اجرا کند. اکسپلویت این ضعف امنیتی آسان است و حمله میتواند از راه دور انجام شود.
CVSS
| Score | Severity | Version | Vector String |
| 8.6 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:P/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected at N/A | Unknown | Microsoft Bing |
لیست محصولات بروز شده
| Product | Impact | Max Severity |
| Microsoft Bing | Remote Code Execution | Critical |
نتیجه گیری
چون این محصول یک سرویس مدیریتشده است، کاربران نمیتوانند بهطور مستقل تدابیر ضد آسیبپذیری را اعمال کنند. این آسیبپذیری توسط مایکروسافت بهطور کامل برطرف شده است. کاربران این سرویس نیازی به انجام هیچ اقدامی ندارند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-21355
- https://www.cvedetails.com/cve/CVE-2025-21355/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21355
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-21355
- https://vuldb.com/?id.296320
- https://nvd.nist.gov/vuln/detail/CVE-2025-21355
- https://cwe.mitre.org/data/definitions/306.html
