CVE-2025-36047

چکیده

آسیب‌پذیری تخصیص منابع بدون محدودیت در IBM WebSphere Application Server Liberty نسخه‌های 18.0.0.2 تا 25.0.0.8 شناسایی شده است. این آسیب پذیری در ویژگی‌های servlet-3.1، servlet-4.0، servlet-5.0 یا servlet-6.0 با پروتکل HTTP/2 فعال‌ وجود دارد و به مهاجمان از راه دور اجازه می‌دهد با ارسال درخواست‌های خاص، منابع حافظه سرور را مصرف کرده و باعث انکار سرویس (DoS) شوند.

توضیحات

آسیب‌پذیری CVE-2025-36047 از نوع تخصیص منابع بدون محدودیت یا کنترل (مطابق با CWE-770) است که در IBM WebSphere Application Server Liberty رخ می‌دهد. این آسیب پذیری به شرایطی اشاره دارد که برنامه منابع سیستمی مانند حافظه را بدون محدودیت تخصیص می‌دهد. در نتیجه، مهاجم می‌تواند با ارسال درخواست‌های خاص، سرور را مجبور به مصرف بیش از حد حافظه کرده و سرویس را از دسترس خارج کند (حملهDoS ). این ضعف در سرورهایی رخ می دهد که از ویژگی‌های servlet-3.1، servlet-4.0، servlet-5.0 یا servlet-6.0 همراه با پروتکل HTTP/2 فعال استفاده می‌کنند.

این حمله از راه دور قابل اجرا است، نیازی به سطح دسترسی اولیه ندارد، بدون تعامل کاربر انجام می‌شود. پیامد این آسیب پذیری صرفاً بر در دسترس پذیری سیستم است و هیچ تأثیری بر محرمانگی یا یکپارچگی ندارد.

IBM برای رفع این آسیب‌پذیری، دو راهکار ارائه کرده است:

1. اعمال فیکس موقت (Interim Fix) مربوط به APAR PH66953 که به‌صورت فوری در دسترس است و می‌تواند آسیب‌پذیری را تا حد زیادی کاهش دهد.
2. به روزرسانی به نسخه 25.0.0.9 یا بالاتر که پچ رسمی و دائمی محسوب می‌شود و انتظار می‌رود در سه‌ماهه سوم سال 2025 منتشر شود.

فیکس موقت به‌عنوان راهکار فوری عمل می‌کند اما ممکن است برخی بهبودهای پایدار نسخه رسمی را نداشته باشد؛ بنابراین توصیه می‌شود پس از اعمال فیکس موقت، در اولین فرصت به نسخه رسمی به روزرسانی شود.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 نتیجه گیری

با توجه به اینکه این آسیب‌پذیری می‌تواند باعث انکار سرویس (DoS) در سرورهای WebSphere Application Server Liberty شود، کاربران باید فوراً فیکس موقت APAR PH66953 را اعمال کرده و در انتظار انتشار نسخه 25.0.0.9 برای به‌روزرسانی دائمی باشند. تا زمان اعمال به‌روزرسانی کامل، توصیه می‌شود در صورت امکان پروتکل HTTP/2 غیرفعال شده و دسترسی شبکه به سرور از طریق فایروال محدود گردد تا درخواست‌های مخرب مسدود شوند. همچنین، بررسی فعال بودن ویژگی‌های servlet-3.1، servlet-4.0، servlet-5.0 یا servlet-6.0 و نظارت بر مصرف حافظه سرور برای شناسایی فعالیت‌های غیرعادی ضروری است. اعمال سیاست‌های محدود کردن نرخ درخواست (Rate Limiting) و استفاده از ابزارهای امنیتی مانند WAF می‌تواند ریسک را کاهش دهد. این اقدامات به‌صورت یکپارچه پایداری سرور را حفظ کرده و از انکار سرویس جلوگیری می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

• Tactic (TA0001) – Initial Access
  Sub-technique (T1190) – Exploit Public-Facing Application
  مهاجم می‌تواند از طریق ارسال درخواست‌های خاص به سرویس HTTP/2 در WebSphere Liberty که روی پورت عمومی در دسترس است، بدون نیاز به احراز هویت اولیه آسیب‌پذیری را اکسپلویت کند. این حمله به‌صورت Remote و بدون تعامل کاربر انجام می‌شود.
• Tactic (TA0040) – Impact
  Sub-technique (T1499.004) – Endpoint Denial of Service: Application or System Exploitation
  ارسال مکرر و مخرب درخواست‌های HTTP/2 باعث مصرف بیش‌ازحد حافظه به دلیل تخصیص کنترل‌نشده (CWE-770) شده و منجر به اختلال کامل در سرویس‌دهی WebSphere Liberty می‌شود. این حمله فقط بر Availability  اثرگذار است و محرمانگی (Confidentiality) و یکپارچگی (Integrity) داده‌ها را تحت تأثیر قرار نمی‌دهد.
• Tactic (TA0005) – Defense Evasion
  Sub-technique (T1499) – Endpoint Denial of Service
  ماهیت درخواست‌های مخرب مشابه با ترافیک نرمال HTTP/2 است و همین موضوع باعث می‌شود که بسیاری از مکانیزم‌های امنیتی سطحی (مانند فایروال‌های معمولی یا لاگ‌های ساده) قادر به تشخیص فوری حمله نباشند. مهاجم می‌تواند با تغییر نرخ و الگوی درخواست‌ها، الگوهای تشخیص DoS را دور بزند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-36047
2. https://www.cvedetails.com/cve/CVE-2025-36047/
3. https://www.ibm.com/support/pages/node/7242086
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-36047
5. https://vuldb.com/?id.320194
6. https://nvd.nist.gov/vuln/detail/CVE-2025-36047
7. https://cwe.mitre.org/data/definitions/770.html