آسیبپذیری با شناسهی CVE-2025-21178 و شدت 8.8 در Visual Studio، محیط توسعه یکپارچه محبوب از شرکت مایکروسافت، شناسایی شده است. این آسیبپذیری به عنوان یک نقص اجرای کد از راه دور (RCE) طبقهبندی شده و میتواند به مهاجمان اجازه دهد سیستم را مختل کرده، اطلاعات حساس را سرقت کرده یا کنترل کامل سیستم را به دست بگیرند.
نوع آسیبپذیری:
- CWE-122 (سرریز بافر مبتنی بر هیپ): زمانی رخ میدهد که دادهها فراتر از محدوده بافر تخصیصیافته در حافظه هیپ نوشته شوند. این نقص میتواند منجر به خرابی دادهها یا اجرای کد دلخواه شود.
- CWE-125 (خواندن خارج از محدوده): زمانی که برنامه دادههایی را خارج از محدوده بافر بخواند، اطلاعات حساس افشا شده یا برنامه رفتار غیرقابل پیشبینی خواهد داشت.
بردار حمله (CVSS):
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- AV:N: آسیبپذیری از طریق شبکه خارجی و از راه دور قابل بهرهبرداری است.
- AC:L: حمله پیچیدگی پایینی دارد و به شرایط خاصی وابسته نیست.
- PR:N: مهاجم نیازی به سطح دسترسی اولیه ندارد.
- UI:R: تعامل با کاربر برای بهرهبرداری ضروری است.
- S:U: تأثیر این حمله محدود به همان سامانه است.
- C:H/I:H/A:H: هر سه ضلع امنیتی (محرمانگی، یکپارچگی و دسترسپذیری) به شدت تحت تأثیر قرار میگیرند.
محصولات آسیبپذیر
این آسیبپذیری نسخههای 15.9.0 تا 15.9.69 از Visual Studio را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود که کاربران Visual Studio فوراً این بهروزرسانی را اعمال کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-21178
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21178
- 48