- شناسه CVE-2025-47966 :CVE
- CWE-200 :CWE
- yes :Advisory
- منتشر شده: ژوئن 5, 2025
- به روز شده: ژوئن 11, 2025
- امتیاز: 9.8
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Power Automate
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری بحرانی در سرویس Power Automate for Desktop شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز امکان افزایش سطح دسترسی از طریق افشای اطلاعات حساس در سطح شبکه را میدهد. این حمله بدون نیاز به تعامل کاربر و احراز هویت انجامپذیر است.
توضیحات
این آسیب پذیری امنیتی مربوط به افشای اطلاعات حساس است که میتواند منجر به افزایش سطح دسترسی از طریق دسترسی به دادههایی شود که نباید برای مهاجم قابل مشاهده باشد. این آسیب پذیری در یک کامپوننت ناشناخته از Power Automate رخ میدهد و به مهاجم اجازه بهره برداری از آسیب پذیری از راه دور، بدون نیاز به احراز هویت و بدون تعامل کاربر را می دهد.
این سرویس به صورت کاملاً مدیریتشده ارائه میشود، بنابراین اقدامات امنیتی لازم برای پچ آسیبپذیری مستقیماً توسط مایکروسافت انجام شده و نیازی به اقدام از سمت کاربران نیست.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| Not Available | Power Automate for Desktop |
لیست محصولات بروز شده
میکروسافت این آسیب پذیری را در زیرساخت سرویس Power Automate به صورت کامل پچ کرده است.
نتیجه گیری
با توجه به پچ این آسیب پذیری در سرویس Power Automate، نیاز به اقدام خاصی از سوی کاربران وجود ندارد. با این حال، توصیه میشود سازمانها بهطور مستمر وضعیت امنیتی سرویسهای ابری خود را بررسی و گزارشهای رسمی مایکروسافت را دنبال کنند تا از اعمال اصلاحات امنیتی مطمئن شوند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-47966
- https://www.cvedetails.com/cve/CVE-2025-47966/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47966
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47966
- https://vuldb.com/?id.311272
- https://nvd.nist.gov/vuln/detail/CVE-2025-47966
- https://cwe.mitre.org/data/definitions/200.html
