- شناسه CVE-2025-64660 :CVE
- CWE-284 :CWE
- yes :Advisory
- منتشر شده: نوامبر 20, 2025
- به روز شده: نوامبر 21, 2025
- امتیاز: 5.7
- نوع حمله: Authorization Bypass
- اثر گذاری: Unauthorized Code Influence
- حوزه: نرم افزارهای کاربردی
- برند: Microsoft
- محصول: Visual Studio Code
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری کنترل دسترسی نادرست در Visual Studio Code هنگام تعامل با افزونه GitHub Copilot به مهاجم دارای حساب معتبر اجازه میدهد با فریب کاربر، مکانیزمهای حفاظت از فایلهای حساس (Sensitive File Protection) در VS Code را دور بزند. مهاجم میتواند فایل مخربی را در مخزن قرار دهد و در صورتی که کاربر به آن فایل اعتماد (Trust) کند و از Copilot درخواست کمک یا تکمیل کد داشته باشد، محتوای فایل یا مسیرهای محافظتشده میتواند توسط Copilot پردازش شود و منجر به تغییر یا دستکاری غیرمجاز دادهها و عملکرد پروژه گردد.
توضیحات
آسیبپذیری CVE‑2025‑64660 ناشی از کنترل دسترسی نادرست مطابق با CWE‑284 در مکانیزم حفاظت فایلهای حساس (Sensitive File Protection) در Visual Studio Code هنگام تعامل با GitHub Copilot است. این مکانیزم با هدف جلوگیری از پردازش ناخواسته فایلهای حساس یا خارج از محدوده توسط Copilot طراحی شده است. مهاجم دارای دسترسی معتبر (مانند مشارکتکننده یک مخزن) میتواند فایل مخربی را در مخزن هدف قرار دهد که بهطور خاص برای دور زدن این مکانیزم طراحی شده باشد. برای موفقیت حمله، کافی است کاربر بهطور ناخواسته workspace یا پوشهای که فایل مخرب در آن قرار دارد را بهعنوان مورد اعتماد (Trusted) علامتگذاری کند و سپس در همان محیط از GitHub Copilot، مانند تکمیل کد یا Copilot Chat، درخواست کمک نماید.
در چنین شرایطی، Copilot ممکن است فایل مخرب را پردازش کرده و برخی از محدودیتهای محافظتی VS Code را دور بزند. پیامد این حمله نقض یکپارچگی (Integrity) در سطح بالا است؛ بهطوریکه مهاجم میتواند از طریق فایل مخرب بر عملکرد Copilot یا خروجی تولیدشده تأثیر غیرمجاز بگذارد. این ضعف از راه دور و با حداقل تعامل کاربر قابل بهرهبرداری است و تنها نیازمند سطح دسترسی پایین با امکان نوشتن در مخزن هدف میباشد. مایکروسافت این آسیبپذیری را در نسخه 1.106.2 از Visual Studio Code بهطور کامل پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.7 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 1.0.0 before 1.106.2 | Visual Studio Code |
لیست محصولات بروز شده
| Versions | Product |
| 1.106.2 | Visual Studio Code |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Visual Studio Code را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 61,200 | site:.ir “Visual Studio Code” | Visual Studio Code |
نتیجه گیری
این آسیبپذیری نشاندهنده اهمیت ترکیب صحیح ویژگیهای امنیتی لوکال (مانند Trust Workspace) با افزونههای مبتنی بر ابر مانند GitHub Copilot است. اگرچه شدت آن متوسط ارزیابی شده است اما در محیطهای سازمانی که مخازن مشترک دارند و توسعهدهندگان بهطور گسترده از Copilot استفاده میکنند، میتواند امکان بهرهبرداری غیرمستقیم را فراهم کند. برای جلوگیری از بهرهبرداری و کاهش ریسک، اقدامات زیر توصیه میشود:
- بهروزرسانی فوری: Visual Studio Code را به نسخه 1.106.2 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- فعالسازی سیاست اعتماد سازمانی به Workspace (Trust Workspace Policy): در محیطهای سازمانی، با استفاده از Group Policy یا تنظیمات افزونه، از اعتماد خودکار به workspaceهای ناشناخته جلوگیری کنید تا کاربر ناخواسته workspaceهای مشکوک را Trusted نکند.
- محدودسازی دسترسی به مخازن: دسترسی نوشتن به مخازن را فقط به افراد مورد اعتماد اختصاص دهید و برای هر Commit از فرآیند بازبینی کد (Code Review) اجباری استفاده کنید.
- غیرفعالسازی موقت Copilot در محیطهای حساس: تا اطمینان کامل از بهروزرسانی همه کاربران، میتوانید افزونه GitHub Copilot را در سطح سازمان غیرفعال کنید.
- آموزش کاربران: توسعهدهندگان را نسبت به ریسک اعتماد به workspaceهای ناشناخته و اهمیت بررسی فایلهای اضافهشده توسط دیگران آگاه سازید.
- مانیتورینگ و ثبت لاگ: لاگهای VS Code و ترافیک خروجی به دامنههای GitHub Copilot را در سطح شبکه مانیتور کنید تا عملکردهای مشکوک یا پردازش فایلهای غیرمنتظره شناسایی شود.
اجرای این اقدامات، به ویژه بهروزرسانی سریع نسخهها، ریسک ناشی از این آسیبپذیری را به حداقل رسانده و امنیت محیط توسعه و پروژهها را بهطور چشمگیری افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم از طریق دسترسی معتبرِ سطح پایین Write Access در مخزن فایل دستکاریشده را وارد زنجیره توسعه میکند و روی رفتار کاربر برای Trusted کردن Workspace حساب باز میکند. این مدل حمله در لایه Supply-Chain عمل میکند و نقطه ورود آن تزریق Payload در محیط توسعه است.
Defense Evasion (TA0005)
Payload بهگونهای طراحی میشود که مکانیزم Sensitive File Protection را دور بزند و بهعنوان ورودی مجاز توسط Copilot پردازش شود.
Lateral Movement (TA0008)
اگر Copilot خروجی آلودهای بسازد که روی سایر ماژولها، فایلها یا فرایندهای کاری تیم اثر بگذارد، مهاجم میتواند نفوذ خود را از یک مخزن یا Workspace به چند جریان توسعه بسط دهد.
Impact (TA0040)
پیامد اصلی نقض یکپارچگی است؛ مهاجم میتواند منطق تولید خروجی Copilot را به سمت رفتارهای اشتباه، تغییرات ناخواسته در کد، یا تولید محتوای گمراهکننده هدایت کند. این موضوع خروجی توسعه، کیفیت تحویل و اعتماد عملیاتی تیم را مستقیماً تهدید میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-64660
- https://www.cvedetails.com/cve/CVE-2025-64660/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64660
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64660
- https://vuldb.com/?id.333125
- https://nvd.nist.gov/vuln/detail/CVE-2025-64660
- https://cwe.mitre.org/data/definitions/284.html
