خانه » CVE-2025-27219
هشدار‌های امنیت سایبری

CVE-2025-27219

آسیب‌پذیری DoS در متد تجزیه کوکی در Ruby CGI Gem

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-27219 :CVE
  • CWE-770 :CWE
  • yes :Advisory
  • منتشر شده: مارس 3, 2025
  • به روز شده: مارس 3, 2025
  • امتیاز: 5.8
  • نوع حمله:  T1499
  • اثر گذاری: Denial of Service (Dos)
  • حوزه: برنامه نویسی
  • برند: Ruby-lang
  • محصول: CGI
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

پروتکل CGI (Common Gateway Interface) یک پروتکل ساده برای ارسال درخواست HTTP از یک وب سرور به یک برنامه مستقل بوده و بازگشت خروجی آن به مرورگر وب می‌باشد. به عبارت ساده‌تر، یک برنامه CGI با پارامترهای درخواست که یا در محیط (GET) یا از طریق ورودی استاندارد (POST) منتقل می‌شود، فراخوانی می‌شود و هر چیزی که آن برنامه در خروجی استاندارد ($stdout) چاپ کند، به کاربر باز می‌گردد.

یک آسیب‌پذیری در CGI Gem در Ruby شناسایی شده است. این آسیب‌پذیری عملکرد CGI::Cookie.parse در بخش Cookie Handler را تحت تاثیر قرار می‌دهد. ایجاد تغییرات در آن منجر به تخصیص منابع می‌شود. این آسیب‌پذیری تحت عنوان CVE-2025-27219 شناخته شده است. حمله می‌تواند از راه دور انجام شود. توصیه می‌شود که بخش آسیب‌دیده به‌روز شود.

توضیحات

این آسیب‌پذیری در دسته CWE-770 قرار دارد. این محصول یک منبع قابل استفاده مجدد یا گروهی از منابع را به یک کاربر اختصاص می‌دهد بدون اینکه محدودیتی برای اندازه یا تعداد منابعی که می‌تواند اختصاص داده شود، اعمال کند که برخلاف سیاست امنیتی مدنظر برای آن کاربر است. این آسیب‌پذیری تاثیر بر قابلیت دسترس پذیری سیستم دارد.

این CVE در کتابخانه CGI یک آسیب‌پذیری احتمالی در زمینه Denial of Service (DoS) ایجاد می کند. این متد هیچ محدودیتی برای طول مقدار خام کوکی (the length of the raw cookie)در حین پردازش، اعمال نمی‌کند. این نقص می‌تواند منجر به مصرف بیش از حد منابع هنگام تجزیه کوکی‌های بسیار بزرگ شود.

اکسپلویت این آسیب‌پذیری آسان است. حمله می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد. MITRE ATT&CK از تکنیک حمله T1499 برای این مشکل استفاده می‌کند.

CVSS

Score Severity Version Vector String
5.8 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L

لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 0.3.5.1 CGI
affected from 0.3.6 before 0.3.7 CGI
affected from 0.4.0 before 0.4.2 CGI

لیست محصولات بروز شده

Versions Product
0.3.5.1 CGI
0.3.7 CGI
0.4.2 CGI

 نتیجه گیری

برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-27219
  2. https://www.cvedetails.com/cve/CVE-2025-27219/
  3. https://github.com/rubysec/ruby-advisory-db/blob/master/gems/cgi/CVE-2025-27219.yml
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27219
  5. https://vuldb.com/?id.298429
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-27219
  7. https://cwe.mitre.org/data/definitions/770.html
  8. https://ruby-doc.org/stdlib-2.5.3/libdoc/cgi/rdoc/CGI.html

همچنین ممکن است دوست داشته باشید

CVE-2025-25893

CVE-2025-26643

CVE-2025-1121

CVE-2025-1923

CVE-2025-1919

CVE-2025-1918

CVE-2025-1915

CVE-2025-1922

CVE-2025-1921

CVE-2025-1917

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.