- شناسه CVE-2025-24042 :CVE
- CWE-284 :CWE
- yes :Advisory
- منتشر شده: فوریه 11, 2025
- به روز شده: فوریه 14, 2025
- امتیاز: 7.3
- نوع حمله: Authentication Bypass
- اثر گذاری: Privilege Escalation
- حوزه: برنامه نویسی
- برند: Microsoft
- محصول: Visual Studio
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در افزونه JS Debug در Microsoft Visual Studio Code شناسایی شده است. این آسیبپذیری مربوط به یک تابع است که باعث ایجاد مشکل در کنترل دسترسی میشود. این آسیبپذیری با شناسه CVE-2025-24042 ثبت شده است. حمله از طریق این آسیبپذیری نیازمند دسترسی محلی(Local) است. توصیه میشود که برای رفع این مشکل، بهروزرسانی امنیتی (Patch) اعمال شود.
توضیحات
با ایجاد تغییرات در ورودی، منجر به آسیبپذیری کنترل دسترسی میشود. طبق تعریف CWE-284، این مشکل زمانی بهوجود میآید که محصول دسترسی به منابع را بهدرستی محدود نمیکند یا دسترسی از یک مهاجم را بهطور نادرست محدود میکند. این آسیبپذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسیپذیری (Availability) تأثیر میگذارد.
اکسپلویت این آسیب پذیری آسان است، اما حمله باید به صورت محلی انجام شود. MITRE ATT&CK از تکنیک حمله T1068 برای این مشکل استفاده میکند.
اسکنر آسیبپذیری Nessus یک پلاگین با شناسه 216141 (بهروزرسانی امنیتی برای Microsoft Visual Studio Code (فوریه ۲۰۲۵)) منتشر کرده که به شناسایی این آسیبپذیری در محیط هدف کمک میکند.
بر اساس معیار CVSS، این آسیبپذیری نیاز به تعامل کاربر (UI:R) دارد، به این معنی که برای سوءاستفاده از آن، کاربر باید بهطور فعال وارد عمل شود، مانند باز کردن یک فایل یا اجرای برنامهای خاص. همچنین، دسترسی مورد نیاز (PR:L) در این آسیبپذیری کم است، به این معنی که یک مهاجم با دسترسی استاندارد به سیستم میتواند از این آسیبپذیری سوءاستفاده کند و نیازی به دسترسی سطح بالا یا مدیر سیستم ندارد.
یک مهاجم معتبر که دارای دسترسی استاندارد به سیستم است، میتواند یک فایل مخرب را بر روی دستگاهی که Visual Studio Code در آن اجرا میشود، قرار دهد. سپس مهاجم باید منتظر بماند تا یک کاربر با دسترسیهای بالاتر (مانند مدیر سیستم یا کاربر با سطح دسترسی بالاتر) از عملکرد خاص دیباگر جاوااسکریپت استفاده کند. در صورت اکسپلویت موفق، مهاجم میتواند دسترسیهای کاربری را که برنامه آسیبدیده را اجرا میکند، بهدست آورد. به این ترتیب، مهاجم امتیازات کاربر موردنظر را بدست میآورد.
CVSS
| Score | Severity | Version | Vector String |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms |
Product |
| affected from 1.0.0 before 1.97.1 | Unknown | Visual Studio Code – JS Debug Extension |
لیست محصولات بروز شده
| Product | Impact | Max Severity | Build Number |
| Visual Studio Code – JS Debug Extension | Elevation of Privilege | Important | 1.97.1 |
نتیجه گیری
اعمال بهروزرسانی امنیتی (Patch) میتواند این مشکل را برطرف کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-24042
- https://www.cvedetails.com/cve/CVE-2025-24042/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24042
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24042
- https://vuldb.com/?id.295337
- https://nvd.nist.gov/vuln/detail/CVE-2025-24042
- https://cwe.mitre.org/data/definitions/284.html
