CVE-2025-23108

چکیده

باز کردن لینک‌های جاوااسکریپت (JavaScript Links) در یک تب جدید از طریق لمس طولانی (Long-Press) در مرورگر فایرفاکس نسخه iOS می‌تواند منجر به اجرای اسکریپت مخربی شود که آدرس URL تب جدید را جعل (Spoof) کند. این آسیب‌پذیری نسخه‌های فایرفاکس برای iOS قبل از 134 را تحت تأثیر قرار می‌دهد.
(اصطلاح “Long-Press” به معنی نگه داشتن طولانی یک دکمه یا ناحیه خاص بر روی صفحه است.)

توضیحات

یک آسیب‌پذیری در مرورگر موزیلا فایرفاکس تا نسخه 133 در iOS شناسایی شده است که به‌عنوان یک مشکل متوسط طبقه‌بندی شده است. این مشکل به بخشی ناشناخته از عملکرد مرورگر مربوط می‌شود. ایجاد تغییرات در ورودی منجر به آسیب‌پذیری در لایه رابط کاربری (UI Layer) می‌شود. طبق دسته‌بندی CWE، این مشکل به‌عنوان CWE-79 شناخته می‌شود. این آسیب‌پذیری به دلیل عدم محدودسازی صحیح یا اشتباه در محدودسازی اشیاء فریم (frame objects)یا لایه‌های رابط کاربری است که به برنامه یا دامنه‌ای دیگر تعلق دارند که می‌تواند باعث سردرگمی کاربر شود و متوجه نخواهد شد که در حال تعامل با کدام رابط کاربری است. این آسیب‌پذیری بر یکپارچگی (Integrity) تأثیر می‌گذارد. گفته شده که اکسپلویت این آسیب‌پذیری آسان است و حمله می‌تواند از راه دور (Remote) آغاز شود. برای اکسپلویت موفق نیازی به احراز هویت (Authentication) نیست، اما به تعامل کاربر و قربانی نیاز دارد.
با ارتقا به نسخه 134 این آسیب‌پذیری برطرف می‌شود.

CVSS

لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

نتیجه گیری

با ارتقا به نسخه 134 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-23108
2. https://www.cvedetails.com/cve/CVE-2025-23108/
3. https://www.mozilla.org/en-US/security/advisories/mfsa2025-06/
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-23108
5. https://vuldb.com/?id.291173
6. https://nvd.nist.gov/vuln/detail/CVE-2025-23108
7. https://cwe.mitre.org/data/definitions/79.html