خانه » CVE-2025-36003
هشدار‌های سایبری

CVE-2025-36003

IBM Security Verify Governance Identity Manager Information Disclosure

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 274 بازدید
هشدار سایبری CVE-2025-36003
  • شناسه CVE-2025-36003 :CVE
  • CWE-209 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 28, 2025
  • به روز شده: آگوست 28, 2025
  • امتیاز: 7.5
  • نوع حمله: Unknown
  • اثر گذاری: Information Disclosure
  • حوزه: مدیریت هویت و دسترسی
  • برند: IBM
  • محصول: Security Verify Governance Identity Manager
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در IBM Security Verify Governance Identity Manager نسخه 10.0.2 به دلیل بازگرداندن پیام‌های خطای حاوی جزئیات فنی است که امکان افشای اطلاعات حساس را برای مهاجمان از راه دور فراهم می‌کند. این اطلاعات می‌تواند در حملات بعدی علیه سیستم مورد استفاده قرار گیرد.

توضیحات

آسیب‌پذیری CVE-2025-36003 در محصول IBM Security Verify Governance Identity Manager (ISVG) نسخه 10.0.2 شناسایی شده است. این نرم‌افزار که برای مدیریت هویت و دسترسی در سازمان‌ها استفاده می‌شود، به دلیل بازگرداندن پیام‌های خطای حاوی اطلاعات حساس دچار ضعف امنیتی است. این ضعف تحت طبقه‌بندی CWE-209 قرار می‌گیرد.

در این نسخه، هنگامی که خطاهای فنی رخ می‌دهند، سامانه جزئیات بیش‌ازحدی را در پاسخ‌ها بازمی‌گرداند. این جزئیات می‌تواند شامل پیکربندی سیستم، مسیرهای داخلی فایل‌ها، ساختار پایگاه داده، نسخه کامپوننت ها و متدهای داخلی برنامه باشد.

این آسیب‌پذیری از طریق شبکه با پیچیدگی پایین، بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است. پیامد آن نقض شدید محرمانگی است، زیرا اطلاعات افشاشده می‌توانند برای برنامه‌ریزی حملات پیشرفته‌تر مانند حملات هدفمند یا بهره‌برداری از سایر ضعف‌ها استفاده شوند.

IBM این ضعف را با محدود کردن جزئیات پیام‌های خطا در بسته‌های اصلاحی (Fix Pack) نسخه 10.0.2 پچ کرده است و توصیه می‌شود این Fix Packها بلافاصله نصب شوند.

CVSS

Score Severity Version Vector String
7.5 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

لیست محصولات آسیب پذیر

Versions Product
affected at 10.0.2 Security Verify Governance Identity Manager

لیست محصولات بروز شده

Versions Product
10.0.2 with FP0006 Security Verify Governance Identity Manager

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که IBM Security را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
831 IBM Security

 نتیجه گیری

این آسیب‌پذیری در IBM Security Verify Governance Identity Manager، به دلیل افشای اطلاعات حساس از طریق پیام‌های خطا، تهدیدی جدی برای امنیت سیستم‌های مدیریت هویت ایجاد محسوب می شود، زیرا اطلاعات افشاشده می‌توانند به عنوان نقطه آغاز برای حملات بعدی مورد سوءاستفاده قرار گیرند. بنابراین برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی فوری: fix packهای 0.2.0-ISS-ISVG-IGVA-FP0006، 10.0.2.0-ISS-ISVG- IMSW-FP0006و 10.0.2.0-ISS-ISVG-IMVA-FP0006 را دانلود کرده و بلافاصله اعمال کنید.
  • فیلتر کردن پیام‌های خطا: جزئیات فنی در پیام‌های خطای بازگشتی مانند مسیرهای داخلی سرور یا اطلاعات پایگاه داده را حذف یا محدود کنید.
  • محدودسازی دسترسی شبکه: دسترسی به رابط‌های وب و APIهای Identity Manager را با فایروال یا Network Policies محدود کرده و از VPN برای مدیریت امن استفاده نمایید.
  • نظارت بر لاگ‌ها: لاگ‌های سرور را برای شناسایی درخواست‌های مشکوک که ممکن است برای استخراج اطلاعات خطا ارسال شوند، بررسی کنید.
  • استفاده از WAF: از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن درخواست‌های مخرب و کاهش ریسک افشای اطلاعات استفاده کنید.
  • آموزش و آگاهی: مدیران سیستم را در مورد ریسک افشای اطلاعات از طریق پیام‌های خطا و اهمیت به‌روزرسانی نرم‌افزار آگاه کنید.

اجرای این اقدامات، ریسک افشای اطلاعات و حملات بعدی را به حداقل رسانده و امنیت سیستم‌های IBM Security Verify Governance را تقویت می‌کند. این آسیب‌پذیری بر اهمیت مدیریت امن پیام‌های خطا و محدود کردن اطلاعات حساس در سیستم‌های مدیریت هویت تأکید دارد.

امکان استفاده در تاکتیک های Mitre Attack

Discovery (TA0007)
پیام‌های خطای جزئیات دار به مهاجم امکان می‌دهد ساختار داخلی برنامه و محیط را کشف کند: مسیرهای فایل، نام‌ها و ساختار پایگاه داده، endpointهای پنهان، نام کامپوننت‌ها و نسخه‌ها. این اطلاعات مرحله کشف را بسیار تسریع و دقت آن را بالا می‌برد.

Credential Access (TA0006)
متن خطا یا پیام‌های اشکال‌زدایی ممکن است رشته‌های اتصال، الگوهای نام‌گذاری کاربر/پایگاه‌داده یا نشانه‌هایی از مکان ذخیره اعتبارنامه را آشکار سازد.

Collection (TA0009)
پس از کشف ساختارها و شناسه‌ها، مهاجم می‌تواند به جمع‌آوریِ داده‌های حساس (نام‌های جدول، مسیرهای پرونده، نمونه‌ لاگ‌های خطا) بپردازد که در طراحی حملات بعدی یا برای فروش/سوءاستفاده نگهداری می‌شود.

Lateral Movement (TA0008)
اطلاعات به‌دست‌آمده مثلاً endpointهای داخلی، سرویس‌های وابسته، رشته‌های اتصال) امکان می‌دهد مهاجم پس از نفوذ اولیه با استفاده از اعتبارنامه‌ها یا سوءاستفاده از سرویس‌های شناخته‌شده به بخش‌های داخلی‌تر شبکه حرکت کند و سرویس‌های دیگر را هدف قرار دهد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-36003
  2. https://www.cvedetails.com/cve/CVE-2025-36003/
  3. https://www.ibm.com/support/pages/node/7243303
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-36003
  5. https://vuldb.com/?id.321645
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-36003
  7. https://cwe.mitre.org/data/definitions/209.html

همچنین ممکن است دوست داشته باشید

CVE-2026-32746

CVE-2026-27944

CVE-2026-33032

CVE-2026-25770

CVE-2026-20131

CVE-2026-33331

CVE-2026-23398

CVE-2026-26980

CVE-2026-23744

CVE-2026-0766

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.