- شناسه CVE-2025-47158 :CVE
- CWE-302 :CWE
- yes :Advisory
- منتشر شده: جولای 18, 2025
- به روز شده: جولای 18, 2025
- امتیاز: 9
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: برنامه نویسی
- برند: Microsoft
- محصول: Azure DevOps
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
این آسیبپذیری در Azure DevOps Server به دلیل دور زدن احراز هویت از طریق داده های به اشتباه غیرقابل تغییر فرض شده، به مهاجم غیرمجاز امکان افزایش سطح دسترسی از طریق شبکه را میدهد.
توضیحات
یک آسیبپذیری بحرانی در Azure DevOps Server به دلیل دور زدن احراز هویت از طریق داده های به اشتباه غیرقابل تغییر فرض شده (CWE-302) شناسایی شده است. این آسیب پذیری به مهاجم بدون نیاز به دسترسی اولیه اجازه میدهد تا از طریق شبکه سطح دسترسی خود را افزایش دهد که این امر بر محرمانگی، یکپارچگی و در دسترس پذیری سیستم تأثیر میگذارد. مایکروسافت این آسیب پذیری را در سرویسهای میزبانیشده خود به طور کامل برطرف کرده و نیازی به بهروزرسانی دستی توسط کاربران وجود ندارد.
CVSS
| Score | Severity | Version | Vector String |
| 9.0 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C |
نتیجه گیری
با توجه به برطرف شدن کامل این آسیب پذیری توسط مایکروسافت و عدم نیاز به اقدام از سوی کاربران، توصیه می شود صرفاً از به روز بودن سیاست های مجوزدهی و کنترل دسترسی در محیط های ابری اطمینان حاصل شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-47158
- https://www.cvedetails.com/cve/CVE-2025-47158/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47158
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47158
- https://vuldb.com/?id.316907
- https://nvd.nist.gov/vuln/detail/CVE-2025-47158
- https://cwe.mitre.org/data/definitions/302.html
