خانه » CVE-2025-1795
هشدار‌های امنیت سایبری

CVE-2025-1795

آسیب‌پذیری در شکستن لیست آدرس‌ها و کدگذاری یونیکد هنگام تجزیه سربرگ ایمیل

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-1795 :CVE
  • CWE-116 :CWE
  • yes :Advisory
  • منتشر شده: فوریه 28, 2025
  • به روز شده: فوریه 28, 2025
  • امتیاز: NA
  • نوع حمله:  T1592
  • اثر گذاری: Information Disclosure
  • حوزه: برنامه نویسی
  • برند: Python Software Foundation
  • محصول: CPython
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در Python CPython تا نسخه‌های 3.11.8، 3.12.2 و 3.13.0a4 شناسایی شده است. این آسیب‌پذیری مربوط به بخشی با عملکرد نامشخص در Address Header Handler می‌باشد. ایجاد تغییرات در این بخش منجر به افشای اطلاعات می‌شود. این آسیب‌پذیری با شناسه CVE-2025-1795 شناخته می‌شود و امکان اکسپلویت آن از راه دور وجود دارد. توصیه می‌شود که نسخه آسیب‌پذیر را به نسخه جدید ارتقا دهید.

توضیحات

این آسیب‌پذیری با ورودی نامشخص، منجر به افشای اطلاعات (CWE-116) می‌شود. این ضعف باعث می‌شود که اطلاعات حساس در اختیار فردی قرار گیرد که مجاز به دسترسی به آن نیست و در نتیجه محرمانگی اطلاعات تحت تأثیر قرار می‌گیرد.

هنگامی که در فرآیند شکستن لیست آدرس‌ها به بخشهای جدید، یک کاما جداکننده در انتهای بخش جدا ‌شده قرار بگیرد و آن بخش نیاز به کدگذاری یونیکد(unicode) داشته باشد، خود کاما نیز به یونیکد تبدیل می‌شود.

در حالی که رفتار مورد انتظار این است که کاما به همان شکل باقی بماند. این مسئله می‌تواند باعث تفسیر نادرست header آدرس توسط برخی از سرورهای ایمیل شود.

اکسپلویت این آسیب‌پذیری دشوار است، اما حمله می‌تواند از راه دور انجام شود. روش حمله مرتبط با این مشکل، طبق چارچوب MITRE ATT&CK، با تکنیک T1592 دسته‌بندی شده است.

برای رفع این مشکل، توصیه می‌شود که از نسخه‌های 3.11.9، 3.12.3 یا 3.13.0a5 استفاده کنید. همچنین، یک بروزرسانی امنیتی برای این مشکل آماده شده که از طریق GitHub در دسترس است. بهترین روش برای جلوگیری از آسیب، به‌روزرسانی به آخرین نسخه می‌باشد.

CVSS

Score Severity Version Vector String
2.3 LOW 4.0 CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

 لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 3.11.9 CPython
affected from 3.12.0 before 3.12.3 CPython
affected from 3.13.0a1 before 3.13.0a5 CPython

 لیست محصولات بروز شده

Versions Product
3.11.9 CPython
3.12.3 CPython
3.13.0a5 CPython

نتیجه گیری

برای جلوگیری از نفوذ از نسخه های بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-1795
  2. https://www.cvedetails.com/cve/CVE-2025-1795/
  3. https://mail.python.org/archives/list/security-announce@python.org/thread/MB62IZMEC3UM6SGHP5LET5JX2Y7H4ZUR/
  4. https://github.com/python/cpython/commit/9148b77e0af91cdacaa7fe3dfac09635c3fe9a74
  5. https://github.com/python/cpython/commit/70754d21c288535e86070ca7a6e90dcb670b8593
  6. https://github.com/python/cpython/commit/09fab93c3d857496c0bd162797fab816c311ee48
  7. https://github.com/python/cpython/pull/119099
  8. https://github.com/python/cpython/pull/100885
  9. https://github.com/python/cpython/issues/100884
  10. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1795
  11. https://vuldb.com/?id.298019
  12. https://nvd.nist.gov/vuln/detail/CVE-2025-1795
  13. https://cwe.mitre.org/data/definitions/116.html

همچنین ممکن است دوست داشته باشید

CVE-2025-20207

CVE-2025-27148

CVE-2025-1262

CVE-2025-26977

CVE-2025-0514

CVE-2025-26966

CVE-2024-13695

CVE-2024-13494

CVE-2024-13693

CVE-2025-21279

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.