- شناسه CVE-2025-55320 :CVE
- CWE-89 :CWE
- yes :Advisory
- منتشر شده: اکتبر 14, 2025
- به روز شده: نوامبر 4, 2025
- امتیاز: 6.8
- نوع حمله: SQL Injection
- اثر گذاری: Privilege Escalation
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: Microsoft
- محصول: Microsoft Configuration Manager
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تزریق SQL (SQL Injection) در Microsoft Configuration Manager به مهاجم احراز هویت شده اجازه میدهد تا از طریق شبکه مجاور، سطح دسترسی خود را به sysadmin افزایش دهد.
توضیحات
آسیبپذیری CVE-2025-55320 در Microsoft Configuration Manager ناشی از خنثیسازی نادرست المنت های خاص در دستورات SQL است که مطابق با CWE-89 طبقه بندی می شود. این ضعف که در متد SyncToken وجود دارد به مهاجم احراز هویت شده اجازه میدهد کد SQL مخرب را به عنوان ورودی تزریق کرده و کوئریهای دلخواه را به عنوان سرویس SMS (System Management Server) اجرا نماید. در نتیجه، مهاجم میتواند سطح دسترسی sysadmin را به دست آورد که شامل دسترسی کامل به منابع سیستم، افشای دادههای حساس، تغییر اطلاعات اختلال در سرویس است.
پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی و
با افشای دادههای پایگاه داده، یکپارچگی با تغییر دادهها و تنظیمات مدیریتی و در دسترسپذیری با اختلال در عملیات Configuration Manager است. این حمله از طریق شبکه مجاور (Adjacent Network) انجام می شود، به این معنا که مهاجم باید در همان شبکه (مانند لوکال یا شبکه مجازی) حضور داشته باشد و امکان حمله از طریق WAN یا اینترنت گسترده وجود ندارد.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتها یا ابزارهای خودکار، از راه دور در شبکه مجاور، بدون تعامل کاربر و تنها با داشتن حساب مجاز با دسترسی بالا، کد SQL مخرب را در متد SyncToken تزریق کند که پس از ترکیب با کد SQL داخل کد منجر به افزایش سطح دسترسی به sysadmin و استخراج یا تغییر دادههای حساس در پایگاه داده Configuration Manager میشود. برای فعال شدن این آسیبپذیری، سیستم هدف باید به همان شبکه لوکال یا مجازی متصل باشد و از قابلیتهای SyncToken در Configuration Manager استفاده کند؛ قابلیتی که در محیطهای سازمانی برای مدیریت دستگاهها و توزیع نرمافزار بهطور گسترده مورد استفاده قرار میگیرد. مایکروسافت این آسیب پذیری را در به روزرسانی های امنیتی اکتبر 2025 (Patch Tuesday) پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.8 | MEDIUM | 3.1 | CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 1.0.0 before 5.00.9132.1029 | Microsoft Configuration Manager 2409 |
| affected from 1.0.0 before 5.00.9135.1008 | Microsoft Configuration Manager |
لیست محصولات بروز شده
| Versions | Product |
| 5.00.9132.1029 | Microsoft Configuration Manager 2409 |
| 5.00.9135.1008 | Microsoft Configuration Manager 2503 |
| 5.00.9128.1035 | Microsoft Configuration Manager 2403 |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Microsoft Configuration Manager را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 343 | site:.ir “Microsoft Configuration Manager” | Microsoft Configuration Manager |
نتیجه گیری
این آسیبپذیری با شدت متوسط در Microsoft Configuration Manager، امکان تزریق SQL و افزایش سطح دسترسی را در شبکههای لوکال افزایش میدهد و میتواند در محیطهای سازمانی منجر به دسترسی sysadmin، افشای دادههای حساس و اختلال در مدیریت سیستمها شود. با توجه به انتشار پچهای امنیتی توسط مایکروسافت، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نصبهای Configuration Manager (شاخههای 2403، 2409 و 2503) را به نسخههای 5.00.9128.1035، 5.00.9132.1029 یا 5.00.9135.1008 (بر اساس شاخه مورد استفاده) بهروزرسانی کنید.
- اعتبارسنجی ورودیها: در اپلیکیشنها و اسکریپت های سفارشیشده با Configuration Manager، بهویژه در متدهای SyncToken و کوئریهای پایگاه داده، از کوئری های آماده (Prepared Statements) و ORMهایی مانند Entity Framework برای جلوگیری از تزریق SQL استفاده کنید.
- محدودسازی دسترسی شبکه: دسترسی به Configuration Manager را به بخش های ایزوله شبکه محدود کنید و از VLANها یا فایروالهای لوکال برای جلوگیری از حملات مجاور (Adjacent Attacks) بهره ببرید؛ همچنین، اصل حداقل دسترسی را برای حسابهای مجاز اعمال نمایید.
- نظارت و ثبت لاگ: لاگهای SQL Server و Configuration Manager را با ابزارهایی مانند Microsoft Defender for Endpoint یا Azure Sentinel مانیتور کنید و هشدارهایی برای کوئریهای مشکوک (مانند الگوهای تزریق) تنظیم نمایید. سطح لاگ را به DEBUG افزایش دهید تا تلاشهای تزریق شناسایی شود.
- ایزولهسازی محیط: Configuration Manager را در محیطهای مجازیسازیشده مانند Hyper-V یا Azure اجرا کنید و دسترسی به سرویس SMS را با استفاده از فایروال اپلیکیشن وب (WAF) یا کنترل دسترسی شبکه (NAC) محدود سازید.
- تست امنیتی: سیستمها را با ابزارهای اسکن مانند SQLMap یا OWASP ZAP برای شناسایی تزریق SQL بررسی کنید و از روشهای Fuzzing (تست تصادفی ورودی) برای ارزیابی مقاومت متد SyncToken بهره ببرید. همچنین، تست نفوذ دورهای در شبکههای لوکال انجام دهید.
- آموزش توسعهدهندگان و مدیران: تیمهای IT و توسعه را درباره ریسک تزریق SQL در ابزارهای مدیریتی مایکروسافت و ضرورت استفاده از کوئری های آماده آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع و محدودسازی دسترسی شبکه، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت مدیریت پیکربندی در محیطهای سازمانی را بهصورت قابلتوجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
در این آسیبپذیری بردار دسترسی «شبکه مجاور / حساب مجاز» است: مهاجم با داشتن حساب مجاز در شبکه محلی میتواند فراخوانی متد SyncToken را ارسال کند و نقطه ورود لازم برای تزریق SQL را فراهم آورد.
Execution (TA0002)
تزریق SQL باعث اجرای مستقیم کوئریهای دلخواه روی پایگاهداده میشود: ورودیهای ناایمن بهعنوان عناصر SQL تفسیر شده و کوئری اجرا میگردد، بنابراین مهاجم میتواند خواندن/نوشتن/تغییر رکوردها یا اجرای دستورات مدیریتی دیتابیس را بهصورت مستقیم انجام دهد.
Privilege Escalation (TA0004)
با تغییر رکوردهای کاربری یا القای دادههای مدیریتی در دیتابیس، مهاجم میتواند خود یا یک حساب را به دسترسی sysadmin/administrator ارتقا دهد و کنترل کنسول مدیریت و توزیع پالیسیها را بهدست آورد.
Discovery (TA0007)
پس از اجرا شدن کوئریهای تزریقی، مهاجم توانایی استخراج ساختار جداول، فهرست کاربران، نقشها و دادههای پیکربندی را دارد که برای هدفگیری عملیات بعدی (مثلاً هدفسازی ارتقا یا گسترش دامنه نفوذ) حیاتی است. این اطلاعات بهراحتی از طریق خواندن جداول و metadata دیتابیس قابل جمعآوری است.
Lateral Movement (TA0008)
با دسترسیِ ارتقا یافته یا اعتبارنامههای استخراجشده، مهاجم میتواند از کنسول مدیریت برای نفوذ به سیستمهای دیگرِ مدیریتشده، سرویسهای شبکه یا هاستهای هممیزبان استفاده کند؛ در عمل، این ضعف میتواند سکوی پرتاب برای حرکت افقی در محیط سازمانی شود.
Defense Evasion (TA0005)
تغییر رکوردها، پاکسازی یا تغییر لاگهای محلی و درج تغییرات در بازههایی که اسکنرها کمتر بازرسی میکنند روشهای عملی برای پنهانسازی آثار حملهاند؛ مهاجم میتواند تغییرات را طوری انجام دهد که شواهد اولیه حذف یا مبهم گردد.
Collection (TA0009)
مهاجم میتواند دادههای حساس پیکربندی، لیست دستگاهها، رکوردهای کاربران و اطلاعات مدیریتی را استخراج و ذخیره کند؛ این دادهها هم برای نفوذ بیشتر و هم جهت افشای خارج از سازمان کاربرد دارند.
Exfiltration (TA0010)
پس از جمعآوری، دادهها میتوانند از طریق مسیرهای شبکه داخلی یا مکانیزمهای خروجی مانند export/dump، FTP، HTTP منتقل شوند؛ در محیطهایِ با نظارت ناکافیِ خروجی، افشای گسترده دادهها محتمل است.
Impact
اثرات فنی و عملیاتی اصلی شامل Privilege Escalation دستیابی به sysadmin/administrator نقض محرمانگی (افشای دیتابیس و پیکربندیها) ، فساد یکپارچگی دادهها (تغییر/حذف رکوردها) و احتمال کاهش دسترسپذیری سرویسهای مدیریت است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55320
- https://www.cvedetails.com/cve/CVE-2025-55320/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55320
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55320
- https://vuldb.com/?id.328339
- https://nvd.nist.gov/vuln/detail/CVE-2025-55320
- https://cwe.mitre.org/data/definitions/89.html
