- شناسه CVE-2025-23099 :CVE
- CWE-787 :CWE
- yes :Advisory
- منتشر شده: ژوئن 2, 2025
- به روز شده: ژوئن 2, 2025
- امتیاز: 9.1
- نوع حمله: Out-of-bounds write
- اثر گذاری: Unknown
- حوزه: تلفن همراه
- برند: Samsung
- محصول: Exynos 1480
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری بحرانی در NPU پردازندههای سامسونگ Exynos 1480 و 2400 شناسایی شده است که بهدلیل عدم بررسی طول ورودی، منجر به نوشتن داده خارج از محدوده مجاز حافظه میشود. این مسئله میتواند توسط مهاجم برای ایجاد خرابی سیستم، افشای اطلاعات یا اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
توضیحات
در این آسیب پذیری، دادهای با طول کنترل نشده به NPU تزریق شده و بدون بررسی اندازه در حافظه نوشته میشود. نتیجه این عملکرد، نوشتن داده خارج از محدوده اختصاص داده شده است که میتواند سیستم را بهصورت کامل مختل کرده ، اطلاعات حساس را فاش کند یا زمینه اجرای کد مخرب را فراهم سازد. این آسیبپذیری تحت CWE-787 طبقهبندی شده و بر محرمانگی (confidentiality)، یکپارچگی (integrity) و در دسترس پذیری (availability) سیستم تأثیر می گذارد. بهره برداری از این آسیب پذیری آسان گزارش شده است اما جزئیات فنی و کد بهره برداری عمومی در دسترس نمی باشد.
CVSS
| Score | Severity | Version | Vector String |
| 9.1 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
لیست محصولات آسیب پذیر
| Version | PLatform | Product |
| Unknown | Android | Exynos 1480, 2400 |
نتیجه گیری
با توجه به عدم انتشار پچ رسمی تا این لحظه، توصیه میشود استفاده از این پردازندهها در محیطهای حساس محدود شده و کاربران منتظر انتشار پچ های امنیتی از سوی سامسونگ باشند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-23099
- https://www.cvedetails.com/cve/CVE-2025-23099/
- https://semiconductor.samsung.com/support/quality-support/product-security-updates/cve-2025-23099/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-23099
- https://vuldb.com/?id.310869
- https://nvd.nist.gov/vuln/detail/CVE-2025-23099
- https://cwe.mitre.org/data/definitions/787.html
