کشف آسیب‌پذیری در Microsoft Visual Studio

تاریخ ایجاد 1403/11/07

آسیب‌پذیری با شناسه‌ی CVE-2025-21178 و شدت 8.8 در Visual Studio، محیط توسعه یکپارچه محبوب از شرکت مایکروسافت، شناسایی شده است. این آسیب‌پذیری به عنوان یک نقص اجرای کد از راه دور (RCE) طبقه‌بندی شده و می‌تواند به مهاجمان اجازه دهد سیستم را مختل کرده، اطلاعات حساس را سرقت کرده یا کنترل کامل سیستم را به دست بگیرند.

نوع آسیب‌پذیری:

• CWE-122 (سرریز بافر مبتنی بر هیپ): زمانی رخ می‌دهد که داده‌ها فراتر از محدوده بافر تخصیص‌یافته در حافظه هیپ نوشته شوند. این نقص می‌تواند منجر به خرابی داده‌ها یا اجرای کد دلخواه شود.

• CWE-125 (خواندن خارج از محدوده): زمانی که برنامه داده‌هایی را خارج از محدوده بافر بخواند، اطلاعات حساس افشا شده یا برنامه رفتار غیرقابل پیش‌بینی خواهد داشت.

بردار حمله (CVSS):

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

• AV:N: آسیب‌پذیری از طریق شبکه خارجی و از راه دور قابل بهره‌برداری است.

• AC:L: حمله پیچیدگی پایینی دارد و به شرایط خاصی وابسته نیست.

• PR:N: مهاجم نیازی به سطح دسترسی اولیه ندارد.

• UI:R: تعامل با کاربر برای بهره‌برداری ضروری است.

• S:U: تأثیر این حمله محدود به همان سامانه است.

• C:H/I:H/A:H: هر سه ضلع امنیتی (محرمانگی، یکپارچگی و دسترس‌پذیری) به شدت تحت تأثیر قرار می‌گیرند.

محصولات آسیب‌پذیر

این آسیب‌پذیری نسخه‌های 15.9.0 تا 15.9.69 از Visual Studio را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی

توصیه می‌شود که کاربران Visual Studio فوراً این به‌روزرسانی را اعمال کنند.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2025-21178

https://www.cvedetails.com/cve/CVE-2025-21178

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21178