خانه » مایکروسافت، دو آسیب ‌پذیری را در سرویس Azure AI Face و Microsoft Account پچ کرد
آسیب پذیری و وصله‌های امنیتی

مایکروسافت، دو آسیب ‌پذیری را در سرویس Azure AI Face و Microsoft Account پچ کرد

توسط Vulnerbyt_News
نوشته شده توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - سرویس Azure AI Face و Microsoft Account - مایکروسافت - آسیب ‌پذیری بحرانی - CVE-2025-21396 - CVE-2025-21415

مایکروسافت، بیست و هفتم ژانویه ۲۰۲۵ طی بیانیه‌ای اعلام کرد که پچ‌هایی را برای رفع دو آسیب ‌پذیری بحرانی در سرویس Azure AI Face و Microsoft Account منتشر کرده است. این آسیب پذیری‌ها در صورت وقوع شرایط خاص، ممکن است به مهاجم اجازه دهند تا دسترسی‌های خود را افزایش دهند.

سرویس Azure AI Face، بخشی از پلتفرم پردازش هوش مصنوعی مایکروسافت است که برای شناسایی و تحلیل چهره‌ها در تصاویر استفاده می‌شود. این سرویس معمولاً در برنامه‌های مختلف امنیتی و تجزیه و تحلیل داده‌ها کاربرد دارد و هرگونه نقص امنیتی در آن می‌تواند پیامدهای جدی برای کاربران و سازمان‌ها داشته باشد.

این دو آسیب ‌پذیری به شرح زیر می‌باشند:

  • CVE-2025-21396 (امتیاز CVSS: 7.5) – آسیب ‌پذیری CVE-2025-21396 در زیرساخت Microsoft Account شناسایی شده است. این آسیب ‌پذیری به دلیل عدم وجود مکانیزم‌های مناسب احراز هویت، به مهاجمان اجازه می‌دهد تا بدون مجوز، دسترسی‌های خود را افزایش دهند. به عبارت دیگر، مهاجم می‌تواند با سوءاستفاده از این نقص، به منابع یا سرویس‌هایی دسترسی پیدا کند که معمولاً برای کاربران مجاز با سطوح دسترسی بالاتر محفوظ است.
  • CVE-2025-21415 (امتیاز CVSS: 9.9) – آسیب ‌پذیری CVE-2025-21415 یک نقص امنیتی با درجه بحرانی است که در سرویس Azure AI Face مایکروسافت شناسایی شده است. این آسیب ‌پذیری به مهاجمان مجاز اجازه می‌دهد تا با فریب سیستم احراز هویت، دسترسی‌های خود را افزایش دهند. به عبارت دیگر، مهاجم می‌تواند با سوءاستفاده از این نقص، به منابع یا سرویس‌هایی دسترسی پیدا کند که معمولاً برای کاربران با سطوح دسترسی بالاتر محفوظ است. دور زدن مکانیزم احراز هویت با جعل هویت در سرویس Azure AI Face به یک مهاجم مجاز این امکان را می‌دهد که از طریق شبکه دسترسی‌های خود را افزایش دهد.

مایکروسافت اعلام کرده است که از وجود کد اکسپلویت PoC برای CVE-2025-21415 آگاه است و افزود که هر دو آسیب ‌پذیری به‌طور کامل پچ شده‌اند. پچ این آسیب پذیری ها نیازی به هیچ اقدامی از سوی مشتریان ندارند.

این اقدام بخشی از تلاش مایکروسافت برای افزایش شفافیت و بهبود امنیت سرویس‌های ابری است. آن‌ها در تلاشند تا با انتشار به‌روزرسانی‌های امنیتی برای آسیب ‌پذیری‌های بحرانی، از هرگونه تهدید علیه زیرساخت‌های خود و مشتریان جلوگیری کنند.

 

منابع

https://thehackernews.com/2025/02/microsoft-patches-critical-azure-ai.html

https://msrc.microsoft.com/blog/2024/06/toward-greater-transparency-unveiling-cloud-service-cves/

مقالات پیشنهادی:

مایکروسافت یک باگ مهم را در ویندوز سرور ۲۰۲۲ پچ کرد!

به‌ روزرسانی‌ Patch Tuesday ماه ژانویه ۲۰۲۵ مایکروسافت

مایکروسافت یک راه حل موقتی برای کرش کردن Outlook ارائه کرد

مایکروسافت آسیب‌ پذیری CVE-2024-44243 را در macOS شناسایی کرد!

عدم سازگاری Patch Tuesday ژانویه ۲۰۲۵ مایکروسافت با Citrix SRA

همچنین ممکن است دوست داشته باشید

بررسی آسیب‌ پذیری Microsoft SharePoint connector در Power...

تعداد 768 آسیب ‌پذیری CVE در سال 2024...

گوگل، ۴۷ آسیب ‌پذیری را در اندروید پچ...

شناسایی آسیب‌ پذیری‌های متعدد در محصولات NVIDIA

آسیب‌ پذیری اجرای کد از راه دور (RCE)...

آسیب پذیری روز صفر در BeyondTrust موجب افشای...

شرکت Broadcom، پنج آسیب پذیری را در VMware...

شناسایی آسیب پذیری بحرانی (CVE-2025-22604) در نرم ‌افزار...

آسیب پذیری روز صفر در دستگاه‌های سری CPE...

اپل اولین آسیب ‌پذیری روز صفر سال ۲۰۲۵...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.