- شناسه CVE-2025-23109 :CVE
- CWE-346 :CWE
- yes :Advisory
- منتشر شده: ژانویه 11, 2025
- به روز شده: ژانویه 11, 2025
- امتیاز: 6.5
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
نامهای طولانی در Host در آدرسهای وبسایتها (URLs) میتوانند برای پنهان کردن نام واقعی Host سایت یا جعل آدرس وبسایت مورد استفاده قرار گیرند. این آسیبپذیری نسخههای فایرفاکس برای iOS قبل از 134 را تحت تأثیر قرار میدهد.
توضیحات
یک آسیبپذیری در مرورگر موزیلا فایرفاکس تا نسخه 133 در iOS شناسایی شده است که این مشکل به بخشی ناشناخته از کد در بخش”Hostname Handler” مربوط میشود. ایجاد تغییرات در ورودی منجر به آسیبپذیری در لایه رابط کاربری (UI Layer) میشود. طبق دستهبندی CWE، این مشکل بهعنوان CWE-346 شناخته میشود. این برنامه وب فریمها یا لایههای رابط کاربری که متعلق به برنامه یا دامنه دیگری هستند را محدود نمیکند یا بهطور اشتباه محدود میکند، که این امر میتواند باعث سردرگمی کاربر شود و او نتواند تشخیص دهد با کدام رابط کاربری در حال تعامل است. این آسیبپذیری بر یکپارچگی (Integrity) تأثیر میگذارد.
گفته شده که اکسپلویت این آسیبپذیری آسان است و حمله میتواند از راه دور (Remote) آغاز شود. برای اکسپلویت موفق نیازی به احراز هویت (Authentication) نیست، اما به تعامل کاربر و قربانی نیاز دارد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected before 134 | Firefox for iOS | Mozilla |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 134 | Firefox | Mozilla |
نتیجه گیری
با ارتقا به نسخه 134 این آسیبپذیری برطرف میشود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-23109
- https://www.cvedetails.com/cve/CVE-2025-23109/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-06/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-23109
- https://vuldb.com/?id.291191
- https://nvd.nist.gov/vuln/detail/CVE-2025-23109
- https://cwe.mitre.org/data/definitions/346.html
