- شناسه CVE-2025-32792 :CVE
- CWE-497 :CWE
- yes :Advisory
- منتشر شده: آوریل 18, 2025
- به روز شده: آوریل 18, 2025
- امتیاز: 8.7
- نوع حمله: unknown input
- اثر گذاری: Potential Scope Escalation / Sandbox Escape
- حوزه: برنامه نویسی
- برند: endojs
- محصول: endo
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در کتابخانه GitHub SES (Secure EcmaScript) وجود دارد که هنگام استفاده از API Compartment برای اجرای برنامههای JavaScript خارجی، مقادیر top-level scope مثل const، let و class در کدهای جاوااسکریپت بهطور ناخواسته در دسترس قرار میگیرند. آسیبپذیری CVE-2025-32792 میتواند باعث افشای ناخواسته متغیرها یا اجرای ناخواسته کد از سوی مهاجمان در محیطهای ایزوله شده، شود.
توضیحات
این آسیبپذیری ناشی از افشای Lexical Scope در SES است؛ بهطوریکه تعاریف top- level مانندlet، const و class درscript ممکن است بهطور ناخواسته درCompartmentها قابل دسترسی باشند. این عملکرد میتواند ایزولاسیون اجرایی را نقض کرده و امکان سوءاستفاده از دامنههای محدودشده را فراهم کند.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
لیست محصولات آسیب پذیر
| version | product |
| affected at < 1.12.0 | endo |
لیست محصولات بروز شده
| version | product |
| v1.12.0 | GitHub SES |
نتیجه گیری
با توجه به اینکه وصله امنیتی برای آسیبپذیری CVE-2025-32792 در نسخه 1.12.0 منتشر شده است، توصیه میشود که کاربران به منظور جلوگیری از بروز مشکلات امنیتی، فوراً به نسخه جدیدتر بهروزرسانی کنند. همچنین، استفاده از نسخههای بهروز و نظارت بر عملکردهای ایزولهشده برای جلوگیری از سوءاستفادههای احتمالی از این آسیبپذیری، بهشدت توصیه می گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-32792
- https://www.cvedetails.com/cve/CVE-2025-32792/
- https://github.com/endojs/endo/security/advisories/GHSA-h9w6-f932-gq62
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-32792
- https://vuldb.com/?id.305675
- https://cwe.mitre.org/data/definitions/497.html
