CVE-2025-14046

چکیده

آسیب‌پذیری پاک‌سازی ناکافی HTML در GitHub Enterprise Server شناسایی شده است. این ضعف به مهاجم اجازه می‌دهد با تزریق المنت‌های DOM کنترل‌شده توسط کاربر و ایجاد تداخل در شناسه‌ها (ID collision)، داده‌های مقداردهی‌شده اولیه توسط سرور را بازنویسی کرده یا تحت‌الشعاع قرار دهد. این وضعیت می‌تواند منجر به ارسال درخواست‌های ناخواسته POST در سمت سرور یا انجام تعاملات غیرمجاز با بَک‌اِند شود.

توضیحات

آسیب‌پذیری CVE‑2025‑14046 در GitHub Enterprise Server ناشی از خنثی‌سازی نادرست ورودی‌ها (Cross‑Site Scripting) مطابق با CWE‑79 است. این ضعف در فرآیند پاک‌سازی ناکافی HTML رخ می‌دهد و به محتوای HTML ارائه‌شده توسط کاربر (User‑Supplied HTML) اجازه می‌دهد المنت‌های DOM (Document Object Model) با شناسه‌های تداخلی (ID Collision) تزریق کند که با مناطق داده‌ای مقداردهی‌شده توسط سرور (Server‑Initialized Data Islands) هم‌نام هستند.

در نتیجه‌ی این تداخل شناسه‌ها، آبجکت های حیاتی وضعیت برنامه مورد استفاده در برخی نماهای پروژه، ممکن است بازنویسی (Overwrite) شده یا تحت‌الشعاع قرار گیرند (Shadow). این وضعیت می‌تواند باعث ایجاد عملکردهای پیش‌بینی‌نشده در منطق برنامه شده و در نهایت منجر به ارسال درخواست‌های ناخواسته POST در سمت سرور یا سایر تعاملات غیرمجاز با بَک‌اند شود؛ بدون آنکه کاربر قربانی از وقوع این عملیات آگاه باشد.

بهره‌برداری از این آسیب‌پذیری از راه دور امکان‌پذیر است، اما مهاجم باید به نمونه هدف GitHub Enterprise Server دسترسی داشته باشد و بتواند یک کاربر با دسترسی بالا را ترغیب کند تا محتوای مخرب طراحی‌شده را مشاهده کند. این حمله نیازمند تعامل کاربر است، اما مهاجم برای بهره‌برداری از آن نیازی به احراز هویت خاص یا دسترسی مدیریتی ندارد.

پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی از طریق دسترسی غیرمجاز به داده‌ها یا وضعیت‌های حساس برنامه و یکپارچگی با امکان تغییر وضعیت منطقی برنامه یا اجرای عملیات ناخواسته در سمت سرور است. شرکت GitHub این ضعف را با انتشار به‌روزرسانی‌های امنیتی رسمی به‌طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که GitHub را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در GitHub Enterprise Server امکان تزریق المنت های HTML مخرب و انجام عملیات ناخواسته سمت سرور را فراهم می‌کند. با توجه به انتشار پچ‌های امنیتی رسمی توسط GitHub، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش سطح ریسک توصیه می‌شود:

• به‌روزرسانی فوری: تمام نمونه‌های آسیب‌پذیر GitHub Enterprise Server را به نسخه‌های پچ‌شده 3.18.3، 3.17.9، 3.16.12، 3.15.16، 3.14.21 یا بالاتر مانند 3.19.0 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• محدودسازی دسترسی: دسترسی کاربران به محتوای خارجی یا ورودی‌های کاربر (User-Supplied Input) را کنترل کنید و از اعطای دسترسی غیرضروری به کاربران جلوگیری نمایید تا ریسک فریب کاربران با دسترسی بالا کاهش یابد.
• استفاده از فایروال اپلیکیشن وب (WAF): از راهکارهای فایروال اپلیکیشن وب برای فیلتر کردن ورودی‌های HTML مخرب و جلوگیری از تزریق المنت‌های DOM غیرمجاز استفاده کنید.
• مانیتورینگ و تشخیص: لاگ‌های سرور و فعالیت‌های بک‌اند را برای شناسایی درخواست‌های POST مشکوک یا تغییرات غیرمجاز در وضعیت‌های کاربردی نظارت کنید. از ابزارهای تشخیص نفوذ (IDS/IPS) برای شناسایی و جلوگیری از محتوای مخرب استفاده کنید.
• آموزش کاربران: کاربران با دسترسی بالا را در خصوص ریسک مشاهده محتوای ناشناخته یا لینک‌های مشکوک آموزش دهید تا ریسک تعامل کاربر کاهش یابد.
• تست پس از به‌روزرسانی: پس از اعمال پچ‌ها، محیط را با استفاده از ابزارهای اسکن آسیب‌پذیری ارزیابی کنید تا از اعمال صحیح به‌روزرسانی‌ها اطمینان حاصل شود.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری به نسخه‌های امن و تقویت کنترل‌های ورودی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و امنیت کلی نمونه‌های GitHub Enterprise Server را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق تزریق HTML/DOM مخرب در محتوای قابل‌نمایش توسط کاربر در GitHub Enterprise Server انجام می‌شود. مهاجم بدون نیاز به احراز هویت خاص، محتوایی می‌سازد که پس از مشاهده توسط قربانی، زمینه اجرای منطق مخرب در مرورگر را فراهم می‌کند.

Execution (TA0002)

اجرای کد در قالب DOM‑based XSS و دستکاری Data Islandهای مقداردهی‌شده توسط سرور رخ می‌دهد. این اجرا در بستر مرورگر قربانی اتفاق می‌افتد اما اثر آن به منطق سمت سرور نشت می‌کند.

Defense Evasion (TA0005)

حمله با تکیه بر رفتار عادی DOM و منطق فرانت‌اند انجام می‌شود و می‌تواند از کنترل‌های سنتی سمت سرور عبور کند.

Credential Access (TA0006)

دسترسی مستقیم به کرندنشیال‌ها گزارش نشده، اما در صورت اجرای عملیات ناخواسته، امکان سوءاستفاده غیرمستقیم از نشست کاربر وجود دارد.

Impact (TA0040)

اثر اصلی شامل انجام عملیات ناخواسته سمت سرور، نقض یکپارچگی منطق برنامه و احتمال افشای داده است. به‌روزرسانی فوری GitHub Enterprise Server و حذف محتوای آلوده مهم‌ترین اقدام کاهش Impact است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-14046
2. https://www.cvedetails.com/cve/CVE-2025-14046/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-14046
4. https://vuldb.com/?id.335997
5. https://docs.github.com/en/enterprise-server@3.18/admin/release-notes#3.18.3
6. https://docs.github.com/en/enterprise-server@3.17/admin/release-notes#3.17.9
7. https://docs.github.com/en/enterprise-server@3.16/admin/release-notes#3.16.12
8. https://docs.github.com/en/enterprise-server@3.15/admin/release-notes#3.15.16
9. https://docs.github.com/en/enterprise-server@3.14/admin/release-notes#3.14.21
10. https://nvd.nist.gov/vuln/detail/CVE-2025-14046
11. https://cwe.mitre.org/data/definitions/79.html