خانه » CVE-2025-12744
هشدار‌های سایبری

CVE-2025-12744

Abrt: command-injection in abrt leading to local privilege escalation

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 173 بازدید
  • شناسه CVE-2025-12744 :CVE
  • CWE-78 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 3, 2025
  • به روز شده: دسامبر 3, 2025
  • امتیاز: 8.8
  • نوع حمله: Command Injection
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Red Hat
  • محصول: Abrt(Red Hat Enterprise Linux8)
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری تزریق دستور (Command Injection) در دایمون ABRT به دلیل عدم اعتبارسنجی صحیح ورودی های کاربر در پردازش اطلاعات مربوط به mount کانتینرها رخ می‌دهد. این ضعف به مهاجمان لوکال با دسترسی محدود این امکان را می‌دهد که با تغییر در اطلاعات mountinfo، متاکاراکترهای شل را تزریق کرده و دستورات دلخواه خود را با دسترسی root اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-12744 در دایمون ABRT (Automatic Bug Reporting Tool) از نوع تزریق دستور مطابق با CWE-78 است و به دلیل عدم اعتبارسنجی صحیح ورودی‌های کاربر در پردازش اطلاعات مربوط به mount کانتینرها رخ می‌دهد. ABRT برای جمع‌آوری خودکار گزارش‌های کرش در توزیع‌های Red Hat, Fedora و CentOS طراحی شده است و با دسترسی root اجرا می‌شود. این ابزار از طریق سوکت یونیکس (UNIX socket) به کاربران لوکال اجازه می‌دهد تا گزارش‌های کرش را ارسال کنند.

ریشه این آسیب‌پذیری در بخش تشخیص کانتینر Docker است. ABRT برای شناسایی اینکه آیا کرش در یک کانتینر Docker رخ داده است یا خیر، اطلاعات مربوط به container ID را از فیلد خاصی در فایل /proc/self/mountinfo استخراج می‌کند. این اطلاعات بدون هیچ‌گونه اعتبارسنجی یا لیست سفید (whitelist) به دستور docker inspect منتقل شده و مستقیماً به شل ارسال می شود. به این ترتیب، مهاجم می‌تواند از این ضعف برای تزریق متاکاراکترهای شل مانند ;، |، ` و $( ) استفاده کند تا دستورات دلخواه خود را به سیستم ارسال نماید.

مهاجم می‌تواند با mount کردن یک فایل‌سیستم دلخواه (حتی یک tmpfs ساده) و تغییر نام mountpoint به یک پیلود مخرب، این متاکاراکترها را وارد دستور docker inspect کند. از آنجا که ABRT با دسترسی root اجرا می‌شود، دستورات تزریق‌شده نیز به‌عنوان root اجرا می‌شوند. این فرآیند به مهاجم این امکان را می‌دهد که دستورات دلخواه خود را در سیستم اجرا کرده و کنترل کامل آن را به‌دست آورد. این آسیب‌پذیری لوکال است، یعنی تنها مهاجمانی که دسترسی به سیستم دارند می‌توانند از آن بهره‌برداری کنند. برای این کار نیاز به دسترسی فیزیکی به سیستم یا دسترسی SSH به آن وجود دارد. پیامدهای این آسیب‌پذیری نقض کامل محرمانگی، یکپارچگی و دسترس‌پذیری است، چرا که مهاجم می تواند دستورات دلخواه خود را اجرا کرده و سیستم را کاملاً تحت کنترل درآورد.

این ضعف با انتشار نسخه 2.17.7 و پچ‌های مربوطه در RHSA برای RHEL 8 برطرف شده است. لذا به‌روزرسانی سریع به این نسخه‌ها توصیه می‌شود.

CVSS

Score Severity Version Vector String
8.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 2.17.7 Abrt
All versions are affected Red Hat Enterprise Linux 8

لیست محصولات بروز شده

Versions Product
2.17.7 Abrt
RHSA-2025:22760 Red Hat Enterprise Linux 8

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که ABRT را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
1,840 site:.ir “ABRT” ABRT

نتیجه گیری

این آسیب‌پذیری با شدت بالا در دایمون ABRT سیستم‌عامل Red Hat Enterprise Linux، امکان تزریق دستورات شل را فراهم می‌کند و می‌تواند منجربه افزایش سطح دسترسی کاربر به root و اجرای دستورات دلخواه شود. با توجه به انتشار پچ امنیتی رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک و جلوگیری از توصیه می شود:

  • به‌روزرسانی سریع: تمام نسخه‌های آسیب‌پذیر را به نسخه‌های 17.7 و بالاتر به‌روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • اعتبارسنجی ورودی: ورودی‌های کاربر باید به‌طور کامل در فرآیندهای حساس اعتبارسنجی شوند تا از تزریق دستورات شل جلوگیری شود. برای این منظور، استفاده از فیلترهای ورودی یا لیست سفید (whitelist) می‌تواند از تزریق متاکاراکترهای شل جلوگیری کند.
  • تنظیمات امنیتی: از ابزارهای امنیتی مانند فایروال، AppArmor یا SELinux برای محدود کردن دسترسی به ABRT socket و جلوگیری از دسترسی به این سرویس برای کاربران غیرمجاز استفاده کنید. این ابزارها می‌توانند نقش مؤثری در جلوگیری از بهره‌برداری از آسیب‌پذیری ایفا کنند.
  • نظارت و ثبت لاگ‌ها: نظارت دقیق بر فرآیندهای ABRT و بررسی لاگ‌های سیستم (خصوصاً لاگ‌های مربوط به ABRT و Unix socket) می‌تواند به شناسایی فعالیت‌های مشکوک و جلوگیری از حملات احتمالی کمک کند.
  • محدود کردن دسترسی‌ها: در صورت امکان، دسترسی به فرآیند ABRT را فقط به کاربران معتبر محدود کنید. این محدودیت‌ها می‌تواند از سوءاستفاده توسط مهاجمان با دسترسی محدود جلوگیری کند.

اجرای این اقدامات می‌تواند ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش دهد و امنیت سیستم را بهبود بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

این ضعف نیاز به دسترسی لوکال دارد؛ مهاجم معمولاً از مسیرهای رایج مثل SSH با یک حساب کم‌دسترسی، یا حضور روی سیستم از قبل (مثلاً از یک آسیب‌پذیری دیگر) وارد می‌شود. این بخش احتمال متوسط دارد، چون بهره‌برداری بدون لوکال‌اکسس ممکن نیست و مهاجم باید قبلاً روی ماشین فرود آمده باشد.

Execution (TA0002)

تزریق متاکاراکترهای شل در پردازش mountinfo باعث اجرای مستقیم دستور توسط شل با سطح دسترسی root می‌شود. این اجرای کد قطعی‌ترین خروجی بهره‌برداری است و احتمال آن بالاست، چون مسیر کد کاملاً deterministic است و فقط به تزریق ورودی آلوده نیاز دارد.

Privilege Escalation (TA0004)

مهاجم از سطح کاربر معمولی به root می‌رسد، چون ABRT به‌صورت daemon با سطح دسترسی کامل اجرا می‌شود و دستورات تزریق‌شده را بدون sandbox اجرا می‌کند. احتمال وقوع بالا است؛ طراحی سرویس ذاتاً این گپ امنیتی را ایجاد می‌کند.

Defense Evasion (TA0005)

اجرای دستور از طریق پردازش قانونی ABRT باعث می‌شود فعالیت‌ها در ظاهر به‌عنوان بخشی از فرآیند crash-handling دیده شوند. مهاجم می‌تواند از اجرای کم‌سروصدا مثلاً تزریق دستور با redirect خروجی برای جلوگیری از ایجاد log های واضح استفاده کند.

Credential Access (TA0006)

پس از دسترسی root، مهاجم می‌تواند فایل‌های حساس، SSH keys، و credential storeهای سیستم را مستقیم بخواند.

Discovery (TA0007)

با دسترسی root، مهاجم معمولاً inventory سیستم، mountها، سرویس‌ها و شبکه را اسکن می‌کند تا حرکت بعدی را تعیین کند.

Lateral Movement (TA0008)

دسترسی root به کلیدهای SSH و فایل‌های کانفیگ شبکه می‌تواند امکان pivot به سیستم‌های دیگر را فراهم کند.

Impact (TA0040)

اجرای کد با سطح root به مهاجم اجازه می‌دهد دستورات تخریبی، حذف فایل‌ها، کاشت backdoor، یا اصلاح سرویس‌های کرون را اجرا کند. تأثیر شدید و احتمال بالا، چون به‌محض exploit مهاجم full control دارد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-12744
  2. https://www.cvedetails.com/cve/CVE-2025-12744/
  3. https://access.redhat.com/security/cve/CVE-2025-12744
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-12744
  5. https://vuldb.com/?id.334160
  6. https://bugzilla.redhat.com/show_bug.cgi?id=2412467
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-12744
  8. https://cwe.mitre.org/data/definitions/78.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.