- شناسه CVE-2025-47963 :CVE
- N/A :CWE
- yes :Advisory
- منتشر شده: جولای 11, 2025
- به روز شده: جولای 11, 2025
- امتیاز: 6.3
- نوع حمله: Unknown
- اثر گذاری: Spoofing
- حوزه: مرورگرها
- برند: Microsoft
- محصول: Microsoft Edge
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری جعل هویت (Spoofing) در مرورگر Microsoft Edge (مبتنی بر Chromium) شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز از طریق شبکه اجازه میدهد با ارسال فایل مخرب، هویت منبع معتبری را جعل کرده و اطلاعات محدودی از مرورگر کاربر استخراج کند.
توضیحات
در Microsoft Edge (مبتنی بر Chromium) نسخه 1.0.0.0 قبل از 138.0.3351.55، مهاجم غیرمجاز میتواند با ارسال یک فایل مخرب و ترغیب کاربر به باز کردن آن، هویت منبع معتبری را جعل کند. این آسیب پذیری به کد جاوااسکریپت مخرب امکان میدهد اطلاعات مرتبط با آدرس وب آسیبپذیر در مرورگر قربانی را بخواند و به مهاجم ارسال کند که این امر منجر به نقض محرمانگی، یکپارچگی و در دسترس پذیری دادهها میشود. بهرهبرداری از این آسیبپذیری نیازمند تعامل کاربر (باز کردن فایل مخرب) است و نیازی به دسترسی مجاز ندارد. Microsoft پچ امنیتی را در نسخه 138.0.3351.55 منتشر کرده است.
CVSS
Score | Severity | Version | Vector String |
6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
Versions | Product |
affected from 1.0.0.0 before 138.0.3351.55 | Microsoft Edge (Chromium-based) |
لیست محصولات بروز شده
Versions | Product |
138.0.3351.55 | Microsoft Edge (Chromium-based) |
نتیجه گیری
به کاربران و مدیران سیستمها توصیه میشود در اسرع وقت مرورگر Microsoft Edge را به نسخه 138.0.3351.55 یا بالاتر بهروزرسانی کنند. همچنین لازم است از باز کردن فایلهای مشکوک منابع غیرمعتبر خودداری کرده و بهروزرسانیهای امنیتی Microsoft را بهطور مرتب بررسی نمایند.
منابع