CVE-2025-64672

چکیده

یک آسیب‌پذیری از نوع Cross-Site Scripting (XSS) در Microsoft SharePoint Server Subscription Edition شناسایی شده است که به دلیل عدم خنثی‌سازی مناسب ورودی‌ها هنگام تولید صفحات وب رخ می‌دهد. در این ضعف امنیتی، مهاجم احراز هویت‌شده با دسترسی پایین می‌تواند اسکریپت‌های مخرب تزریق کند که ممکن است منجر به فریب کاربران یا جعل محتوای نمایش داده‌شده (Content Spoofing) در تعاملات با سرور شود.

توضیحات

آسیب‌پذیری CVE-2025-64672 در Microsoft SharePoint Server Subscription Edition ناشی از عدم خنثی‌سازی مناسب ورودی‌ها در زمان تولید صفحات وب مطابق با CWE-79 است. این ضعف امنیتی به مهاجم احراز هویت‌شده با دسترسی پایین اجازه می‌دهد تا ورودی‌های مخرب شامل تگ‌های HTML یا اسکریپت‌های جاوااسکریپت را در کامپوننت‌های مختلف SharePoint مانند لیست‌ها، کتابخانه‌ها، صفحات سایت یا فرم‌ها تزریق کند. ورودی‌های مخرب بدون فیلتر مناسب در خروجی نمایش داده شده و باعث اجرای کد در مرورگر کاربران می‌شوند.

در بخش بهره‌برداری از این آسیب‌پذیری، مهاجم می‌تواند از طریق شبکه و بدون نیاز به تعامل مستقیم کاربران هدف، کد مخرب خود را تزریق کند. هنگامی که سایر کاربران، از جمله مدیران یا کاربران با سطح دسترسی بالاتر، صفحات آلوده را مشاهده می‌کنند، اسکریپت اجراشده در مرورگر آن‌ها می‌تواند کوکی‌های نشست (Session Cookies) یا توکن‌های احراز هویت را سرقت کرده و اقدامات غیرمجاز در محتوا یا پیکربندی سایت انجام دهد. در این سناریو، مهاجم می‌تواند با سوءاستفاده از نشست کاربران و جعل محتوای نمایش داده‌شده، کاربران را فریب دهد (Spoofing) و عملیات را در چارچوب سطح دسترسی همان کاربر انجام دهد، بدون آنکه هویت واقعی کاربران در سمت سرور تغییر کند.

پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی از طریق افشای اطلاعات حساس، تأثیر بالا بر یکپارچگی با امکان تغییر داده‌ها و محتوا و تأثیر بالا بر در دسترس‌پذیری از طریق اختلال در عملکرد سایت است. شرکت مایکروسافت این آسیب‌پذیری را در به‌روزرسانی امنیتی دسامبر 2025 به‌طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft SharePoint Server را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در SharePoint Server Subscription Edition از نوع XSS است و به مهاجمان احراز هویت‌شده اجازه می‌دهد اسکریپت‌های مخرب را تزریق کنند. بهره‌برداری موفق از این ضعف می‌تواند منجر به سرقت نشست، انجام اقدامات غیرمجاز در سایت‌ها و محتوا و جعل محتوای نمایش‌داده‌شده به‌منظور فریب کاربران شود. با توجه به انتشار پچ رسمی دسامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک توصیه می‌شود:

• به‌روزرسانی فوری: تمام سرورهای SharePoint Subscription Edition را به نسخه 0.19127.20378 یا بالاتر به‌روزرسانی کنید. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین راهکار برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی دسترسی کاربران: اصل حداقل دسترسی را اعمال کنید و دسترسی کاربران به ایجاد یا ویرایش محتوا در سایت‌ها و لیست‌ها را به حداقل برسانید. از نقش‌های محدود مانند Read یا Contribute به جای کنترل کامل (Full Control) استفاده نمایید.
• فعال‌سازی فیلترینگ ورودی: در سطح برنامه از قابلیت‌های داخلی SharePoint مانند تأیید محتوا (Content Approval) و مدیریت محتوا (Moderation) استفاده کنید تا ورودی‌های کاربران قبل از نمایش بررسی و تأیید شوند. همچنین، فعال‌سازی ویژگی Anti-XSS در پیکربندی وب اپلیکیشن توصیه می‌شود.
• نظارت و تشخیص: از ابزارهایی مانند Microsoft Defender for Cloud Apps یا سیستم‌های مدیریت رویداد و اطلاعات امنیتی (SIEM) برای مانیتورینگ فعالیت‌های مشکوک در SharePoint، شامل تغییرات ناگهانی در محتوا یا ورودهای غیرعادی، استفاده کنید. بررسی منظم لاگ‌ها (Audit Logs) برای شناسایی تزریق‌های احتمالی ضروری است.
• آموزش کاربران: مدیران سایت و کاربران را در مورد ریسک XSS و اهمیت عدم کلیک روی لینک‌های مشکوک یا باز کردن صفحات ناشناخته آموزش دهید.
• محدودسازی شبکه: دسترسی به SharePoint را با فایروال اپلیکیشن وب (WAF) محافظت کنید تا درخواست‌های مخرب فیلتر شوند. در صورت امکان، از Conditional Access Policies در Microsoft Entra ID برای محدود کردن دسترسی بر اساس مکان و دستگاه استفاده نمایید.
• ارزیابی و تست: پس از اعمال پچ‌ها، سایت‌ها را با ابزارهای اسکن XSS مانند Burp Suite یا OWASP ZAP بررسی کنید تا اطمینان حاصل شود هیچ ورودی مخربی اجرا یا نمایش داده نمی‌شود.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی کاربران، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت محیط‌های همکاری سازمانی مبتنی بر SharePoint را به شکل قابل توجهی تقویت می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

در مرحله اولیه دسترسی، بهره‌گیری از این آسیب‌پذیری مستلزم آن است که مهاجم از پیش یک حساب کاربری معتبر با کمترین سطح دسترسی در سامانه SharePoint داشته باشد. در این حالت، او می‌تواند از طریق تزریق محتوای آلوده در بخش‌هایی مانند فرم‌ها یا صفحات اشتراکی، زمینه اجرای کد در مرورگر دیگر کاربران سازمان را فراهم کند. دستاورد اصلی در این گام، ایجاد درگاهی برای ورود غیرمستقیم به داده‌ها یا نشست‌های کاربران است، بدون آنکه نیازی به بهره‌گیری از بدافزار یا فایل پیوست مخرب باشد. شرط لازم، فعال بودن ماژول‌های وب تحت دسترسی داخلی و وجود کاربران واقعی برای بازدید از بخش آلوده است.

Execution (TA0002)

در این مرحله، اسکریپت تزریق‌شده تنها هنگام پردازش در مرورگر قربانی فعال می‌شود. در واقع اجرای کد در بستر مرورگر و با مجوزهای کاربری جاری انجام گرفته و مهاجم با بهره‌گیری از ساختار پویا و جاوااسکریپت، فرمان‌هایی نظیر استخراج کوکی‌ها، تغییر DOM یا بازنویسی محتوای رابط را اجرا می‌کند. در این گام، فعال بودن قابلیت اسکریپت سمت‌کاربر و مشاهده مستقیم صفحه آلوده توسط کاربر، شرط بحرانی برای اجرای موفق محسوب می‌گردد.

Credential Access (TA0006)

با اجرای موفق کد، مهاجم قادر خواهد بود داده‌های احراز هویت ذخیره‌شده در مرورگر مانند Session Tokenها یا کوکی‌های مدیریتی را استخراج کند. این اقدام با هدف به‌دست‌آوردن کنترل موقتی بر نشست کاربر انجام می‌شود و نیازمند آن است که مرورگر سیاست‌های امنیتی سخت‌گیرانه نظیر HttpOnly را بر کوکی‌ها اعمال نکرده باشد. مهاجم در سناریوی کلی می‌تواند از این داده‌ها برای تقلید از کاربر قربانی در نشست‌های بعدی بهره گیرد.

Privilege Escalation (TA0004)

در صورت دستیابی به کوکی‌ها یا توکن‌های مدیر سیستم، مهاجم می‌تواند سطح دسترسی خود را فراتر از حساب اولیه افزایش دهد. در این حالت، اقدام به تغییر تنظیمات یا افزودن حساب کاربری جدید می‌تواند مسیر تثبیت کنترل بر سامانه را فراهم کند. پیش‌شرط این مرحله، بازدید مدیر یا کاربر با امتیازات بالا از صفحه آلوده است.

Defense Evasion (TA0005)

اسکریپت تزریق‌شده غالباً درون محتوای مجاز (مانند توضیح آیتم یا فیلد سفارشی) قرار دارد و از دید سیستم‌های امنیتی چون آنتی‌ویروس یا WAF عبور می‌کند. برای اجرای موفق این تاکتیک، مهاجم باید از ساختار HTML سازگار با فیلترهای SharePoint استفاده کرده و کد خود را در قالب عناصر به ظاهر بی‌ضرر درج کند. این امر باعث می‌شود رفتار مخرب در حد یک تعامل وب عادی جلوه کند.

Impact (TA0040)

پیامد نهایی این آسیب‌پذیری نه‌تنها شامل فریب کاربران و جعل محتوای نمایشی است، بلکه می‌تواند موجب تغییر یا حذف داده‌ها، افشای اطلاعات حساس و اختلال در عملکرد سایت گردد. اثرات مستقیم بر محرمانگی و تمامیت داده‌ها، منجر به از بین رفتن اعتماد کاربران و کاهش قابلیت اطمینان سامانه می‌شود. در محیط‌های سازمانی، این موضوع می‌تواند به افشای اطلاعات درون‌سازمانی، تحریف محتوای رسمی یا حتی ایجاد بستر برای حملات گسترده‌تر از جمله مهندسی اجتماعی و فیشینگ داخلی بیانجامد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-64672
2. https://www.cvedetails.com/cve/CVE-2025-64672/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64672
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64672
5. https://vuldb.com/?id.335435
6. https://nvd.nist.gov/vuln/detail/CVE-2025-64672
7. https://cwe.mitre.org/data/definitions/79.html