CVE-2025-27109

چکیده

یک آسیب‌پذیری بحرانی در SolidJS تا نسخه 1.9.3 شناسایی شده است. ایجاد تغییرات در داده‌ها منجر به فرار خروجی (Escape Output) می‌شود. این آسیب‌پذیری با کد CVE-2025-27109 شناخته شده و از راه دور قابل اکسپلویت کردن است. توصیه می‌شود کامپوننت آسیب‌دیده را به‌روزرسانی کنید.

توضیحات

SolidJS یک کتابخانه جاوااسکریپت است که برای ساخت رابط‌های کاربری کارآمد و انعطاف‌پذیر استفاده می‌شود. در نسخه‌های آسیب‌پذیر، درج عبارات JSX درون Fragmentهای درون‌خطی غیرمجاز بدون گریز (Escaping) انجام می‌شد، که باعث می‌شد ورودی کاربر مستقیماً به‌عنوان HTML رندر شود. این مشکل در نسخه 1.9.4 برطرف شده و همه کاربران باید نسخه مورد استفاده خود را به‌روز کنند.

طبق تعریف CWE-116، این مشکل هنگامی رخ می‌دهد که یک پیام ساخت‌یافته برای ارتباط با یک کامپوننت دیگر آماده می‌شود، اما کدگذاری (Encoding) یا خروج(Escaping) داده‌ها به درستی انجام نمی‌شود. در نتیجه، ساختار اصلی پیام حفظ نمی‌شود و ممکن است محرمانگی (Confidentiality)، یکپارچگی (Integrity) و در دسترس بودن (Availability) سیستم را تحت تأثیر قرار دهد.

اکسپلویت این آسیب‌پذیری آسان است. حمله می‌تواند از راه دور انجام شود. برای اکسپلویت این مشکل نیازی به احراز هویت نیست.

CVSS

لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی به نسخه 1.9.4 این آسیب‌پذیری را برطرف می‌کند.

اعمال پچ b93956f28ed75469af6976a98728e313d0edd236 این مشکل را رفع خواهد کرد.

پچ و به‌روزرسانی از طریق GitHub قابل دریافت است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27109
2. https://www.cvedetails.com/cve/CVE-2025-27109/
3. https://github.com/solidjs/solid/commit/b93956f28ed75469af6976a98728e313d0edd236
4. https://github.com/solidjs/solid/security/advisories/GHSA-3qxh-p7jc-5xh6
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27109
6. https://vuldb.com/?id.296527
7. https://nvd.nist.gov/vuln/detail/CVE-2025-27109
8. https://cwe.mitre.org/data/definitions/116.html
9. https://cwe.mitre.org/data/definitions/79.html