- شناسه CVE-2025-64675 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: دسامبر 18, 2025
- به روز شده: دسامبر 19, 2025
- امتیاز: 8.3
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Spoofing
- حوزه: پایگاههای داده
- برند: Microsoft
- محصول: Azure Cosmos DB
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری جعل (Spoofing) مبتنی بر Cross-site Scripting (XSS) در سرویس Azure Cosmos DB شناسایی شده است. این ضعف به مهاجم بدون نیاز به احراز هویت اجازه میدهد تا از طریق شبکه و با تعامل کاربر، محتوای جعلی را در رابط کاربری تزریق کند و کاربران را فریب دهد تا با صفحات یا پیامهای بهظاهر معتبر تعامل کنند.
توضیحات
آسیبپذیری CVE-2025-64675 در سرویس Azure Cosmos DB از نوع جعل (Spoofing) ناشی از عدم خنثیسازی مناسب ورودیها در فرآیند تولید صفحات وب، مطابق با CWE-79 است. این سرویس پایگاه داده توزیعشده چندمدلی مایکروسافت است که از برنامههای مقیاسپذیر جهانی پشتیبانی میکند.
در این آسیبپذیری، سرویس ورودیهای کاربر را بهطور مناسب پاکسازی یا کدگذاری نمیکند و اجازه میدهد محتوای مخرب در صفحات وب مدیریتی یا رابطهای کاربری مرتبط با Azure Cosmos DB تزریق شود. در نتیجه، مهاجم بدون نیاز به احراز هویت میتواند از طریق شبکه، پیلودهای جعلی را ارسال کند که با تعامل کاربر (مانند کلیک روی لینک یا باز کردن صفحه مدیریتی)، در مرورگر قربانی اجرا شود و ظاهر صفحات معتبر Azure را جعل کند.
این ضعف بهسادگی قابل بهرهبرداری است؛ مهاجم میتواند با ارسال ورودیهای دستکاریشده اسکریپتهایی را تزریق کند که منجر به جعل هویت صفحات، فیشینگ داخلی، سرقت کوکیهای نشست یا توکنهای احراز هویت و حتی تغییر محدود محتوای نمایشی شود.
پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی از طریق افشای اطلاعات حساس، یکپارچگی با امکان دستکاری محتوای صفحه و تأثیر محدود بر در دسترسپذیری است.
مایکروسافت این آسیبپذیری را بهطور کامل روی سرویس میزبانیشده (hosted service) پچ کرده است و بنابراین کاربران نیازی به اقدام دستی ندارند. این اقدام بخشی از سیاست شفافیت بیشتر در انتشار CVE برای سرویسهای میزبانیشده است تا سازمانها از ریسکهای احتمالی آگاه شوند.
CVSS
| Score | Severity | Version | Vector String |
| 8.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at N/A | Azure Cosmos DB |
لیست محصولات بروز شده
| Versions | Product |
| Mitigated by Microsoft (No customer action required) | Azure Cosmos DB |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Azure Cosmos DB را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 3,550 | site:.ir “Azure Cosmos DB” | Azure Cosmos DB |
نتیجه گیری
این آسیبپذیری با شدت بالا در سرویس Azure Cosmos DB به مهاجمان بدون نیاز به احرازهویت امکان جعل محتوای صفحات و انجام حملات فریبنده را میدهد. مایکروسافت این ضعف را بهطور کامل در سمت سرویس پچ کرده است و بنابراین نیازی به اقدام از سوی کاربران وجود ندارد. با این حال، برای کاهش ریسک و تقویت امنیت کلی، اجرای اقدامات زیر توصیه میشود:
- مانیتورینگ مداوم: لاگهای Azure Monitor و Azure Sentinel را برای شناسایی فعالیتهای مشکوک مرتبط با تزریق ورودی یا دسترسی غیرعادی به پورتال Cosmos DB نظارت کنید. استفاده از ابزارهای تشخیص تهدید ابری (Cloud Threat Detection) میتواند به شناسایی زودهنگام حملات کمک کند.
- پیادهسازی سیاست امنیتی محتوا (CSP): سیاست امنیتی محتوای سختگیرانه را در برنامههای متصل به Cosmos DB اعمال کنید تا اجرای اسکریپتهای غیرمجاز مسدود شود.
- اصل حداقل دسترسی: سیاست حداقل سطح دسترسی را برای حسابهای Azure اعمال کنید و از Azure AD با احراز هویت چندعاملی (MFA) برای تمام دسترسیها استفاده نمایید.
- استفاده از فایروال اپلیکیشن وب (WAF): فایروال اپلیکیشن وب را برنامهها فعال کنید تا پیلودهای XSS و spoofing فیلتر شوند.
- آموزش کاربران: کاربران و مدیران را نسبت به ریسک لینکهای مشکوک و صفحات جعلی آگاه کنید و به آنها توصیه نمایید که از کلیک روی محتوای ناشناخته در پورتال Azure پرهیز کنند.
- بررسی و تست: بهطور دورهای تنظیمات امنیتی Cosmos DB را ارزیابی کنید تا از عدم وجود آسیب پذیری اطمینان حاصل گردد.
اجرای این اقدامات، بهویژه تقویت نظارت و سیاستهای امنیتی در کنار به روزرسانی اعمال شده توسط مایکروسافت، ریسک بهرهبرداری از آسیبپذیری را بهطور قابلتوجهی کاهش داده و سطح امنیت زیرساختهای Azure را افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم از طریق ارسال ورودی مخرب به رابطهای وب مدیریتی مرتبط با Azure Cosmos DB، بدون نیاز به احراز هویت، نقطه شروع حمله را ایجاد میکند. ضعف در خنثیسازی ورودیها باعث میشود پیلود XSS در صفحات مدیریتی بارگذاری شود.
Execution (TA0002)
کد JavaScript تزریقشده پس از تعامل کاربر (مانند باز کردن صفحه یا کلیک روی لینک) در مرورگر قربانی اجرا میشود و محتوای جعلی با ظاهر رسمی Azure رندر میگردد. اجرای کد در محتوای پورتال مدیریتی انجام میشود و امکان سوءاستفاده مستقیم از اعتماد کاربر را فراهم میکند.
Credential Access (TA0006)
اسکریپت مخرب میتواند برای فیشینگ داخلی، جمعآوری اعتبارنامهها، توکنهای Azure AD یا کوکیهای نشست استفاده شود. این تاکتیک مستقیماً محرمانگی حسابهای مدیریتی Azure را هدف میگیرد.
Defense Evasion (TA0005)
حمله در بستر ترافیک عادی پورتال Azure و با ظاهری کاملاً معتبر انجام میشود و تشخیص آن برای کاربر و برخی ابزارهای امنیتی دشوار است. محتوای مخرب در قالب تعاملات مجاز وب پنهان میشود. سازمانها باید بهجای اتکا به امضاها، از تحلیل رفتاری و لاگمحوری استفاده کنند.
Collection (TA0009)
اطلاعات واردشده توسط کاربر در صفحات جعلی، از جمله دادههای احراز هویت یا اطلاعات مدیریتی، میتواند از DOM مرورگر جمعآوری شود.
Exfiltration (TA0010)
دادههای جمعآوریشده میتوانند از طریق درخواستهای HTTPS معمولی به زیرساخت مهاجم ارسال شوند.
Impact (TA0040)
اثر اصلی این آسیبپذیری جعل محتوای پورتال Azure و فریب کاربران است که منجر به افشای اطلاعات حساس و تضعیف اعتماد به رابط مدیریتی میشود. محرمانگی بهشدت تحت تأثیر قرار میگیرد، یکپارچگی محتوای نمایشی نقض میشود و تأثیر محدودی بر دسترسپذیری وجود دارد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-64675
- https://www.cvedetails.com/cve/CVE-2025-64675/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-64675
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64675
- https://vuldb.com/?id.337553
- https://nvd.nist.gov/vuln/detail/CVE-2025-64675
- https://cwe.mitre.org/data/definitions/79.html
