CVE-2025-30434

چکیده

آسیب‌پذیری Cross-Site Scripting (XSS) در iOS و iPadOS به دلیل عدم پاک سازی مناسب ورودی‌ها هنگام پردازش فایل‌های مخرب ایجاد شده است. این ضعف امنیتی به مهاجم اجازه می‌دهد کد جاوااسکریپت دلخواه را از طریق فایل‌های دستکاری‌شده اجرا کرده و در نتیجه منجر به سرقت اطلاعات نشست یا تغییر عملکرد برنامه شود.

توضیحات

آسیب‌پذیری CVE-2025-30434 در iOS و iPadOS ناشی از عدم خنثی‌سازی مناسب ورودی در تولید صفحات وب مطابق با CWE-79 است. این ضعف ناشی از پردازش نادرست فایل‌ها توسط سیستم است که به مهاجم اجازه می‌دهد کد جاوااسکریپت مخرب را در زمینه مرورگر یا برنامه‌های وب‌محور دستگاه تزریق کند. در نتیجه، هنگام باز کردن فایل، کد اجرا شده و می‌تواند کوکی‌ها، توکن‌های نشست (session tokens) یا داده‌های حساس کاربر را افشا کند یا عملکرد برنامه را تغییر دهد. پیامدها شامل احتمال افشای اطلاعات نشست و توکن‌های احراز هویت و همچنین امکان دستکاری رفتار برنامه در سطح تعاملات کاربری و درخواست‌های سمت سرور است. شدت نهایی وابسته به Context اجرای WebView است و در برخی سناریوها می‌تواند به سرقت حساب (Session Hijacking) منجر شود.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای خودکار، فایل مخربی (مانند PDF یا HTML دستکاری‌شده) ایجاد کند و آن را از طریق ایمیل، پیام‌رسان یا دانلود به کاربر هدف برساند؛ سپس با باز کردن فایل در دستگاه iOS و iPadOS بدون نیاز به دسترسی اضافی، کد جاوااسکریپت اجرا شده و اطلاعات نشست را به سرور مهاجم ارسال می‌کند یا عملیات مخرب دیگری انجام می‌دهد.

اپل این آسیب پذیری را در به‌روزرسانی امنیتی در نسخه  18.4 مارس 2025 با بهبود پاک سازی ورودی‌ها پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که iOS و iPadOS را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در iOS و iPadOS امکان اجرای کد مخرب از نوع XSS از طریق فایل‌های آلوده را فراهم می کند و می‌تواند منجر به سرقت اطلاعات نشست یا دستکاری عملکرد برنامه ها شود. با توجه به انتشار پچ امنیتی توسط اپل، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام دستگاه‌های iOS و iPadOS را به نسخه 18.4 و بالاتر به روزرسانی کنید.
• محدودسازی منابع فایل: از باز کردن فایل‌های ناشناس یا مشکوک (مانند پیوست‌های ایمیل یا لینک‌های دانلود غیرمطمئن) خودداری کنید و از قابلیت‌های امنیتی Gatekeeper و XProtect برای مسدودسازی فایل‌های آلوده استفاده نمایید.
• فعال‌سازی سیاست امنیتی محتوا (CSP): در برنامه‌های مبتنی بر وب، سیاست‌های CSP را برای جلوگیری از اجرای اسکریپت‌های خارجی فعال کنید و استفاده از کدهای جاوااسکریپت را به حداقل برسانید.
• نظارت و آموزش: کاربران را درباره ریسک فایل‌های مخرب (مانند PDF یا HTML) آموزش دهید و از ابزارهای مدیریت دستگاه موبایل(MDM) مانند Jamf یا Intune برای نظارت بر به‌روزرسانی‌ها و عملکرد دستگاه استفاده کنید.
• تست امنیتی: برنامه‌های شخص ثالث را با ابزارهایی مانند OWASP ZAP یا Burp Suite برای شناسایی XSS فایل‌محور بررسی کنید.
• ایزوله‌سازی: فایل‌های دریافتی را در محیط‌های سندباکس (مانند Preview یا Files app) اجرا کنید و دسترسی برنامه‌ها به داده‌های حساس را محدود سازید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و آموزش کاربران، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت پردازش فایل در اکوسیستم iOS و iPadOS را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

با فرض عدم وجود سیستم های دفاع در عمق امکان استفاده در تاکتیک های زیر وجود داد.

Initial Access (TA0001)
مهاجم با ارسال فایلِ دستکاری‌شده PDF/HTML (پیوست ایمیل، پیام‌رسان یا دانلود از لینک) به کاربر هدف، و متکی بر این واقعیت که سیستم‌عامل یا اپلیکیشن فایل را در WebView/renderer پردازش می‌کند، دسترسی اولیه را کسب می‌کند.

Execution (TA0002)
کد جاوااسکریپتِ مخرب از طریق XSS در زمینه مرورگر یا WebView اجرا می‌شود و بلافاصله به توکن‌ها، کوکی‌ها یا APIهای محلی دسترسی پیدا می‌کند؛ این اجرا می‌تواند requestهای احراز هویت‌شده بسازد یا UI را برای فیشینگ تغییر دهد.

Credential Access (TA0006)
در صورتی که WebView یا پردازش فایل به session cookies، localStorage یا توکن‌های درون برنامه دسترسی داشته باشد، کد مخرب می‌تواند این داده‌ها را خوانده و احراز هویت کاربر را بدزدد که منجر به takeover حساب می‌شود.

Discovery (TA0007)
کد اجراشده می‌تواند محیط اجرا را شناسایی کند: وجود کوکی‌ها، آدرس‌های endpoint، کلاسی از APIهای محلی و scoped permissions را کشف می‌کند تا عملیات بعدی را هدف‌مند سازد.

Privilege Escalation (TA0004)
به‌صورت مستقیم این XSS کرنل/سیستم را بالا نمی‌برد، اما اگر WebView یا اپ سطح بالا دارای APIهایی با مجوزهای حساس باشد، مهاجم می‌تواند با سوء‌استفاده از آن‌ها عملیات با امتیاز بالاتر انجام دهد.

Collection (TA0009)
اطلاعات جلسه، فرم‌های پرشده، داده‌های محلی و metadata فایل قابل خواندن و گردآوری است.

Exfiltration (TA0010)
کد مخرب می‌تواند داده‌های جمع‌آوری‌شده را به سرور مهاجم ارسال کند

Defense Evasion (TA0005)
حملات فایل‌محور می‌توانند با obfuscation، polymorphic payload یا payload chaining از شناسایی توسط آنتی‌ویروس‌ها و فیلترهای محتوا عبور کنند.

Lateral Movement (TA0008)
پس از سرقت توکن‌ها/نشست‌ها، مهاجم ممکن است به حساب‌های ابری یا سرویس‌های همگام‌شده وارد شود و از آنجا به داده‌ها یا دستگاه‌های دیگر گسترش یابد

Impact
این آسیب‌پذیری می‌تواند منجر به افشای توکن‌های احراز هویت و تسلط بر جلسات کاربری account takeover و همچنین دستکاری تراکنش‌ها یا اجرای عملیات از طرف کاربر شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-30434
2. https://www.cvedetails.com/cve/CVE-2025-30434/
3. https://support.apple.com/en-us/122371
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30434
5. https://vuldb.com/?id.302482
6. http://seclists.org/fulldisclosure/2025/Apr/4
7. https://nvd.nist.gov/vuln/detail/cve-2025-30434
8. https://cwe.mitre.org/data/definitions/79.html