خانه » CVE-2025-24989
هشدار‌های امنیت سایبری

CVE-2025-24989

آسیب‌پذیری ارتقای دسترسی در Microsoft Power Pages

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2025-24989 :CVE
  • CWE-284 :CWE
  • yes :Advisory
  • منتشر شده: فوریه 19, 2025
  • به روز شده: فوریه 21, 2025
  • امتیاز: 8.2
  • نوع حمله:  T1068
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم مدیریت محتوا
  • برند: Microsoft
  • محصول: POSIX:2008 Package
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Microsoft Power Pages شناسایی شده است و ایجاد تغییرات در آن منجر به مشکلات در کنترل دسترسی می‌شود. این آسیب‌پذیری با کد CVE-2025-24989 شناخته شده است. حمله از راه دور قابل انجام است.

توضیحات

طبق استاندارد CWE، این مشکل با کد CWE-284 شناخته شده است. محصول در محدود کردن دسترسی به یک منبع توسط یک عامل غیرمجاز دچار اختلال می شود. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity)، و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

یک آسیب‌پذیری در کنترل دسترسی نادرست در Power Pages به مهاجم این امکان را می‌دهد که از طریق شبکه دسترسی‌های خود را ارتقا دهد و احتمالاً بخش کنترل ثبت‌نام کاربر را دور بزند. این آسیب‌پذیری در این سرویس برطرف شده است. این به‌روزرسانی به‌طور خاص به رفع مشکل دور زدن کنترل ثبت‌نام پرداخته است. شرکت مایکروسافت به مشتریان آسیب‌دیده دستورالعمل‌هایی برای بررسی سایت‌هایشان جهت شناسایی امکان اکسپلویت و روش‌های پاک‌سازی بیان کرده است.

اکسپلویت این آسیب‌پذیری آسان است و حمله می‌تواند از راه دور انجام شود. برای اکسپلویت موفقیت‌آمیز، هیچ‌گونه احراز هویتی لازم نیست.

این آسیب‌پذیری طبق MITRE ATT&CK با تکنیک T1068 انجام می‌شود.

CVSS

Score Severity Version Vector String
8.2 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N/E:U/RL:O/RC:C

 لیست محصولات آسیب پذیر

Versions Platforms Product
affected at N/A Unknown Microsoft Power Pages

 لیست محصولات بروز شده

Product Impact Max Severity
Microsoft Power Pages Elevation of Privilege Critical

 نتیجه گیری

این به‌روزرسانی به‌طور خاص به رفع مشکل دور زدن کنترل ثبت‌نام پرداخته است. شرکت مایکروسافت به مشتریان آسیب‌دیده دستورالعمل‌هایی برای بررسی سایت‌هایشان جهت شناسایی امکان اکسپلویت و روش‌های پاک‌سازی بیان کرده است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-24989
  2. https://www.cvedetails.com/cve/CVE-2025-24989/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24989
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24989
  5. https://vuldb.com/?id.296331
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-24989
  7. https://cwe.mitre.org/data/definitions/284.html
  8. https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json

همچنین ممکن است دوست داشته باشید

CVE-2025-21279

CVE-2025-22632

CVE-2025-21383

CVE-2025-27012

CVE-2025-27109

CVE-2025-21355

CVE-2025-1426

CVE-2025-1006

CVE-2025-0999

CVE-2024-20677

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.