- شناسه CVE-2025-53787 :CVE
- CWE-77 :CWE
- yes :Advisory
- منتشر شده: آگوست 7, 2025
- به روز شده: آگوست 7, 2025
- امتیاز: 8.2
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Microsoft 365 Apps
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری با شدت بالا در قابلیت BizChat نرمافزار Microsoft 365 Copilot شناسایی شده است که میتواند منجر افشای اطلاعات حساس شود.
توضیحات
آسیبپذیری CVE-2025-53787 در قابلیت BizChat پلتفرم Microsoft 365 Copilot به دلیل ضعف در خنثیسازی المنت های ویژه دارای معنای خاص در دستورات ورودی (Command Injection) ایجاد شده است. این آسیب پذیری به مهاجم اجازه میدهد با استفاده از ورودیهای مخرب، اطلاعات حساسی مانند ارتباطات تجاری یا دادههای محرمانه را بهصورت غیرمجاز استخراج کند. همچنین، این ضعف امنیتی تأثیر قابل توجهی بر محرمانگی دادهها داشته و میتواند یکپارچگی دادهها را بهصورت محدود تحت تأثیر قرار دهد اما تأثیری بر در دسترس پذیری سیستم ندارد.
خنثیسازی نادرست المنت های ویژه (مطابق با CWE-77) به شرایطی اشاره دارد که ورودیهای کاربر بهطور نادرست پردازش شده و بهعنوان دستورات سیستمی بر روی سرور اجرا میشوند. این مسئله میتواند منجر به اجرای دستورات مخرب، افشای اطلاعات حساس یا تغییر دادهها شود. در مورد آسیب پذیری مذکور، مهاجم می تواند از طریق ورودیهای دستکاریشده در BizChat، اطلاعات محرمانه را استخراج کند یا تغییراتی جزئی در دادهها ایجاد کند.
این آسیبپذیری برای سازمانهایی که از Microsoft 365 Copilot BizChat برای ارتباطات تجاری استفاده میکنند، تهدید جدی محسوب میشود. افشای اطلاعات حساس میتواند شامل دادههای تجاری، ارتباطات داخلی یا اطلاعات مشتریان باشد که منجر به نقض حریم خصوصی، خسارات مالی یا آسیب به اعتبار سازمان میشود. با توجه به ماهیت شبکهای و پیچیدگی کم حمله، مهاجمان میتوانند بهراحتی از این آسیب پذیری بهرهبرداری کنند. طبق گزارش مایکروسافت، این آسیب پذیری پیش از انتشار عمومی، در سمت سرور پچ شده است و کاربران نیازی به نصب بهروزرسانی یا انجام اقدامات اضافی ندارند.
CVSS
| Score | Severity | Version | Vector String |
| 8.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N/E:U/RL:O/RC:C |
نتیجه گیری
با وجود پچ کامل این آسیبپذیری توسط مایکروسافت و عدم نیاز به اقدام مستقیم از سوی کاربران، این رخداد یادآور اهمیت مانیتورینگ مداوم سرویسهای ابری و مدیریت ریسک در زیرساختهای SaaS (مانند Microsoft 365) است. سازمانها باید با نظارت مستمر بر فعالیتها و لاگها، اجرای سیاست حداقل دسترسی و بهکارگیری رویکردهای پیشرفته مانند معماری زیرو تراست (Zero Trust) و محدودسازی دسترسی، سطح امنیت خود را ارتقا دهند. آموزش تیمهای کاربری و IT برای شناسایی و گزارش سریع فعالیتهای مشکوک، استفاده از ارزیابیهای امنیتی دورهای، و پیگیری منظم گزارشهای امنیتی رسمی مایکروسافت و سایر ارائهدهندگان، میتواند به کاهش ریسک و افزایش آمادگی در برابر تهدیدات مشابه کمک کند. ادغام این اقدامات با کنترلهای چندعاملی و تقسیمبندی شبکه، احتمال موفقیت حملات را به حداقل میرساند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-53787
- https://www.cvedetails.com/cve/CVE-2025-53787/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53787
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-53787
- https://vuldb.com/?id.319206
- https://nvd.nist.gov/vuln/detail/CVE-2025-53787
- https://cwe.mitre.org/data/definitions/77.html
