خانه » CVE-2025-59213
هشدار‌های سایبری

CVE-2025-59213

Configuration Manager Elevation Of Privilege Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 306 بازدید
هشدار سایبری CVE-2025-59213
  • شناسه CVE-2025-59213 :CVE
  • CWE-89 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 14, 2025
  • به روز شده: نوامبر 4, 2025
  • امتیاز: 8.4
  • نوع حمله: SQL Injection
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌های مجازی‌سازی و مدیریت ابری
  • برند: Microsoft
  • محصول: Microsoft Configuration Manager
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری تزریق SQL (SQL Injection) در Microsoft Configuration Manager شناسایی شده است. این ضعف امنیتی به مهاجم لوکال بدون نیاز به احراز هویت اجازه می‌دهد سطح دسترسی خود را افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2025-59213 در Microsoft Configuration Manager ناشی از خنثی‌سازی نادرست المنت های خاص در دستورات SQL است که مطابق با CWE-89 طبقه‌بندی می‌شود. در این حمله مهاجم کد SQL مخرب را به ورودی‌های نرم‌افزار وارد می‌کند تا کوئری‌های پایگاه‌داده را تغییر دهد. این ضعف به‌طور مشخص در متدی به نام DuplicateAMTMachineRecord وجود دارد، جایی که ورودی‌ها بدون اعتبارسنجی و پاک‌سازی مناسب پردازش می‌شوند.

مهاجم لوکال حتی بدون داشتن دسترسی اولیه یا حساب کاربری می‌تواند ورودی مخرب را به آن متد ارسال کند تا ساختار کوئری SQL را تغییر داده و دستورات مرتبط با پایگاه داده را اجرا کند. در نتیجه امکان افزایش سطح دسترسی به حساب‌های مدیریتی Configuration Manager در نتیجه اجرای یک کوئری مرتبط با تغییر نقش کاربری وجود دارد که دسترسی به کنسول مدیریت، توزیع نرم‌افزار و کنترل دستگاه‌های کلاینت را فراهم می‌کند.

بهره‌برداری از این ضعف به سادگی قابل خودکارسازی است: مهاجم می‌تواند با اسکریپت‌های لوکال ورودی‌های مخرب را وارد کند، کوئری‌ها را تغییر دهد، رکوردهای پایگاه‌داده را دستکاری کرده و سطح دسترسی را به مدیر (administrator) افزایش دهد. این حمله نیاز به تعامل کاربر یا احراز هویت ندارد ولی باید به‌صورت لوکال اجرا شود.

پیامدهای آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های پیکربندی، فهرست کاربران یا حذف رکوردهای حساس، یکپارچگی با امکان تغییر پایگاه داده و در دسترس‌پذیری با حذف یا اختلال در سیستم است. مایکروسافت در اکتبر 2025 به روزرسانی‌های امنیتی برای شاخه‌های 2403، 2409 و 2503 منتشر کرده است؛ اجرای فوری این به‌روزرسانی‌ها و بررسی لاگ‌ها و قواعد ورودی‌های مرتبط با متدهای آسیب‌پذیر برای کاهش ریسک ضروری است.

CVSS

Score Severity Version Vector String
8.4 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

لیست محصولات آسیب پذیر

Versions Product
affected from 1.0.0 before 5.00.9132.1029 Microsoft Configuration Manager 2409
affected from 1.0.0 before 5.00.9135.1008 Microsoft Configuration Manager

لیست محصولات بروز شده

Versions Product
5.00.9132.1029 Microsoft Configuration Manager 2409
5.00.9135.1008 Microsoft Configuration Manager 2503
5.00.9128.1035 Microsoft Configuration Manager 2403

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft Configuration Manager را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
343 site:.ir “Microsoft Configuration Manager” Microsoft Configuration Manager

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Microsoft Configuration Manager، امکان تزریق SQL لوکال را فراهم می کند و می‌تواند سطح دسترسی مهاجمان را به administrator افزایش دهد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک ضروری است:

  • به روزرسانی فوری: تمام نصب‌های Configuration Manager را به بیلدهای امن 5.00.9132.1029 برای 2409، 5.00.9135.1008 برای 2503 و 5.00.9128.1035 برای 2403 به روزرسانی کنید.
  • اعتبارسنجی ورودی‌ها: در اسکریپت‌ها و متدهای سفارشی، ورودی‌های SQL را با کوئری های آماده (استفاده از پارامترهای آماده در SQL Server) یا مکانیزم های ذخیره سازی فیلتر کنید تا تزریق غیرممکن شود.
  • اصل حداقل دسترسی: حساب‌های لوکال را به حداقل مورد نیاز محدود کنید و دسترسی به متدهای مدیریتی مانند DuplicateAMTMachineRecord را با کنترل دسترسی مبتنی بر نقش (RBAC) ایزوله نمایید.
  • نظارت و ثبت لاگ: قابلیت‌های بررسی (Audit) سرور SQL را فعال کنید تا الگوهای تلاش برای تزریق شناسایی شوند؛ از ابزارهایی مانند Microsoft Defender for Endpoint برای بررسی عملکردهای مشکوک لوکال استفاده کنید.
  • ایزوله‌سازی: سرورهای Configuration Manager را در شبکه‌های جداگانه قرار دهید، فایروال‌های میزبان (مانند Windows Firewall) را پیکربندی کنید و دسترسی‌های از راه دور مانند RDP را محدود نمایید.
  • تست امنیتی: در محیط‌های آزمایشی با ابزارهایی مانند SQLMap (برای شبیه‌سازی تزریق SQL) و Burp Suite اسکن و تست نفوذ انجام دهید تا نقاط ضعف پوشش داده شوند.
  • آموزش: مدیران IT را در مورد ریسک‌های SQL Injection لوکال و لزوم به‌روزرسانی‌های مایکروسافت آگاه سازید.

این اقدامات، به ویژه به‌روزرسانی و اعتبارسنجی دقیق ورودی‌ها، به‌طور چشمگیری ریسک بهره‌برداری از این آسیب‌پذیری را کاهش می‌دهد و امنیت مدیریت پیکربندی در محیط‌های مایکروسافتی را تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این مورد، بردار دسترسی محلی است: مهاجم باید توانایی اجرای ورودی لوکال روی سرور یا سرویس Configuration Manager را داشته باشد (مثلاً دسترسی به شِل محلی یا اجرای اسکریپت لوکال) تا ورودی مخرب را به متد DuplicateAMTMachineRecord ارسال کند و نقطه ورود برای تزریق SQL فراهم شود.

Execution (TA0002)
تزریق SQL موجب اجرای کوئری‌های دلخواه در کانتکست پایگاه‌داده می‌شود؛ مهاجم می‌تواند دستورات SQL را اجرا کند (خواندن/نوشتن/تغییر رکوردها و تغییر سطوح حساب‌ها) و عملاً کد/دستورات را روی دیتابیس اجرا نماید که مسیر مستقیم افزایش سطح دسترسی و تغییر پیکربندی را فراهم می‌سازد.

Privilege Escalation (TA0004)
از طریق تغییر رکوردهای کاربری یا القای داده‌های مدیریتی در دیتابیس، مهاجم لوکال می‌تواند خود یا یک حساب را به نقش administrator ارتقا دهد و به کنسول مدیریت، توزیع نرم‌افزار و کنترل کلاینت‌ها دسترسی یابد.

Discovery (TA0007)
پس از تزریق، مهاجم توانایی شناسایی ساختار دیتابیس، فهرست کاربران، نقش‌ها و داده‌های پیکربندی را دارد؛ این اطلاعات برای هدف‌گیری دقیق‌تر عملیات elevation یا گسترش دامنه نفوذ حیاتی است.

Lateral Movement (TA0008)
با استفاده از اعتبارنامه‌های به‌دست‌آمده یا تغییرات ایجادشده در دیتابیس، مهاجم می‌تواند به سایر بخش‌های مدیریت زیرساخت (مثلاً کنسول‌های هم‌میزبان، سرویس‌های مرتبط یا سرویس‌های مدیریت مبتنی بر شبکه) منتقل شود و از سطح دسترسی جدید برای نفوذ عرضی بهره ببرد.

Defense Evasion (TA0005)
مهاجم می‌تواند تغییر رکوردها یا پاک‌سازی/دستکاری لاگ‌های محلی را برای پنهان‌سازی آثار انجام دهد؛ همچنین اعمال تغییرات در دیتابیس به‌گونه‌ای که با بازه‌های زمانی اسکن سازگار نباشد، تشخیص را دشوار می‌سازد.

Collection (TA0009)
داده‌های حساس پیکربندی، لیست دستگاه‌ها و رکوردهای کاربران که از دیتابیس خوانده یا تغییر یافته‌اند می‌توانند جمع‌آوری و برای استفاده بعدی یا افشا ذخیره شوند.

Exfiltration (TA0010)
اگر مهاجم دسترسی به مسیرهای خروجی شبکه داشته باشد، می‌تواند داده‌های خوانده‌شده را به بیرون منتقل کند؛ حتی در سطح لوکال امکان export فایل‌های پیکربندی یا dump گرفتن از جداول وجود دارد.

Impact
اثرات فنی و عملیاتی شامل Privilege Escalation و در پی آن نقض محرمانگی، فساد یکپارچگی داده‌ها و کاهش دسترس‌پذیری سرویس‌های مدیریت سازمانی است. مهاجم می‌تواند دسترسی administrator به‌دست آورد، تغییرات گسترده در پیکربندی اعمال کند، دستگاه‌ها را از مدیریت خارج سازد یا اطلاعات حساس را استخراج کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-59213
  2. https://www.cvedetails.com/cve/CVE-2025-59213/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59213
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59213
  5. https://vuldb.com/?id.328432
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-59213
  7. https://cwe.mitre.org/data/definitions/89.html

همچنین ممکن است دوست داشته باشید

CVE-2026-27944

CVE-2026-33032

CVE-2026-25770

CVE-2026-20131

CVE-2026-33331

CVE-2026-23398

CVE-2026-26980

CVE-2026-23744

CVE-2026-0766

CVE-2025-47273

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.