کمیته رکن چهارم – مایکروسافت دو آسیبپذیری مهم امنیتی را در سرویس تشخیص چهره Azure AI و سرویس Microsoft Account شناسایی و رفع کرده است. این مشکلات که میتوانستند به مهاجمان امکان ارتقاء سطح دسترسی تحت شرایط خاص را بدهند، امتیازهای بالایی در سیستم رتبهبندی CVSS دریافت کردهاند.
به گزارش کمیته رکن چهارم، اولین آسیبپذیری با کد CVE-2025-21396 و امتیاز ۷.۵، مربوط به نقص در Microsoft Account به دلیل فقدان تأیید اعتبار بود. دومین آسیبپذیری با کد CVE-2025-21415 و امتیاز ۹.۹، یک مشکل جدی در سرویس تشخیص چهره Azure AI بود که به مهاجمان مجاز امکان دور زدن احراز هویت و ارتقاء سطح دسترسی را میداد. این امتیازها طبق استاندارد CVSS تعیین شدهاند، سیستمی که شدت آسیبپذیریها را از ۰ تا ۱۰ امتیازدهی میکند. امتیاز ۷.۵ نشاندهنده خطر بالا و امتیاز ۹.۹ بیانگر وضعیت بحرانی است که نیاز به اقدام فوری برای رفع آن دارد.
مایکروسافت اعلام کرده که هر دو آسیبپذیری به طور کامل برطرف شده و نیازی به اقدام خاصی از سوی کاربران نیست. این شرکت همچنین تأیید کرد که یک کد اثبات مفهوم (PoC) برای یکی از این مشکلات وجود دارد، اما اقدامات لازم برای مهار آن انجام شده است.
مایکروسافت تأکید کرده که این تلاشها در راستای افزایش مقاومت سرویسهای ابری و کاهش تهدیدات سایبری انجام میشود و به طور مداوم به ارتقای امنیت سرویسهای خود ادامه خواهد داد.
