- شناسه CVE-2025-24456 :CVE
- CWE-288 :CWE
- yes :Advisory
- منتشر شده: ژانویه 21, 2025
- به روز شده: ژانویه 21, 2025
- امتیاز: 6.7
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: برنامه نویسی
- برند: JetBrains
- محصول: Hub
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
در نسخههای قبل از 2024.3.55417 از JetBrains Hub، افزایش دسترسی از طریق نگاشت(mapping) احراز هویت LDAP ممکن بود.
یک آسیبپذیری در JetBrains Hub شناسایی شده است. این مشکل به عملکرد نامشخصی از کامپوننت LDAP مربوط میشود و ایجاد تغییرات در آن منجر به دورزدن احراز هویت میشودهمچنین امکان دارد حمله از راه دور انجام شود. توصیه میشود که کامپوننت آسیبدیده بهروزرسانی شود.
توضیحات
طبق تعریف CWE-288، این مشکل به این معنا است که محصول به احراز هویت نیاز دارد، اما بر اساس این آسیب پذیری یک مسیر یا کانال جایگزین وجود دارد که نیاز به احراز هویت ندارد. این آسیبپذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) تأثیر میگذارد.
اکسپلویت آن دشوار ارزیابی شده است، اما حمله از راه دور قابل انجام است و هیچ نوع احراز هویتی برای اکسپلویت موفق مورد نیاز نیست.
ابزار اسکن آسیبپذیری Nessus با شناسه پلاگین 214541 میتواند وجود این نقص امنیتی را در محیطهای هدف شناسایی کند.
CVSS
| Score | Severity | Version | Vector String |
| 6.7 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L |
لیست محصولات آسیب پذیر
| Versions | Product | Vendor |
| affected from 0 before 2024.3.55417 | Hub | JetBrains |
لیست محصولات بروز شده
| Versions | Product | Vendor |
| 2024.3.55417 | Hub | JetBrains |
نتیجه گیری
برای جلوگیری از نفوذ بهتر است از نسخه بروزرسانی شده استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-24456
- https://www.cvedetails.com/cve/CVE-2025-24456/
- https://www.jetbrains.com/privacy-security/issues-fixed/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24456
- https://vuldb.com/?id.292751
- https://nvd.nist.gov/vuln/detail/CVE-2025-24456
- https://cwe.mitre.org/data/definitions/288.html
