خانه » CVE-2025-36855
هشدار‌های سایبری

CVE-2025-36855

EOL .NET 6.0 Runtime Remote Code Execution Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 3 بازدید
هشدار سایبری CVE-2025-36855
  • شناسه CVE-2025-36855 :CVE
  • CWE-126 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 8, 2025
  • به روز شده: سپتامبر 8, 2025
  • امتیاز: 8.8
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: برنامه نویسی
  • برند: Microsoft
  • محصول: NET 6.0
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در کتابخانه DiaSymReader.dll فریم‌ورک.NET، نسخه‌های 6.0.0 تا 6.0.36 (EOL)، 8.0.0 تا 8.0.11 و تا 9.0.0، ناشی از خواندن بیش از حد بافر (Buffer Over-read) است و می‌تواند امکان اجرای کد از راه دور (RCE) را برای مهاجم فراهم کند. این ضعف امنیتی به مهاجم اجازه می‌دهد کد مخرب را اجرا کرده و کنترل بخش‌هایی از برنامه یا داده‌های حافظه را به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-36855 در فریم‌ورک .NETمایکروسافت، به‌ویژه در کتابخانه DiaSymReader.dll، ناشی از خواندن بیش از حد بافر (Buffer Over-read) مطابق با CWE-126 است و می‌تواند منجر به دسترسی غیرمجاز به داده‌های حافظه و عملکرد غیر قابل پیش بینی برنامه شود. این ضعف در نسخه‌های 6.0.0 تا 6.0.36 وجود دارد و در شرایطی که فایل‌های ورودی مخرب پردازش شوند، امکان اجرای کد از راه دور و افشای داده‌های حساس را برای مهاجم فراهم می‌کند.

شدت این آسیب‌پذیری بالا ارزیابی می‌شود، زیرا به مهاجم کنترل بخشی از حافظه برنامه را می‌دهد و می‌تواند محرمانگی، یکپارچگی و در دسترس پذیری سیستم‌های تحت تأثیر را تهدید کند.

برد حمله محدود به برنامه‌هایی است که از کتابخانه DiaSymReader.dll برای پردازش فایل‌های دیباگ یا نمادهای برنامه استفاده می‌کنند، اما با توجه به گستردگی استفاده از .NET در محیط‌های سازمانی و ابزارهای توسعه، تاثیر بالقوه آن قابل توجه است. همچنین، برنامه‌های خودکفا (Self-Contained Applications) که با نسخه‌های آسیب‌پذیر ایجاد و مستقر شده‌اند، تحت تأثیر این آسیب‌پذیری قرار دارند و باید مجدداً کامپایل و مستقر شوند تا از اجرای کد دلخواه مهاجم جلوگیری شود.

از آنجایی که نسخه‌های .NET 6.0 اکنون در وضعیت پایان دوره پشتیبانی (EOL) قرار دارند، مایکروسافت هیچ به روزرسانی رسمی برای رفع این آسیب پذیری ارائه نکرده است و نسخه‌های آسیب‌پذیر همچنان در معرض ریسک هستند.

برای کاهش ریسک، کاربران باید به نسخه‌های امن .NET Runtime 8.0.12 و 9.0.1 ارتقا دهند. این نسخه‌ها شامل اصلاحات امنیتی هستند که آسیب پذیری در آن ها پچ شده است. سازمان‌هایی که امکان ارتقا فوری ندارند، می‌توانند با بهره‌گیری از شرکای پشتیبانی تجاری مانند HeroDevs برای پشتیبانی پس از EOL ، از به روزرسانی‌های امنیتی و راهکارهای کاهش ریسک بهره‌مند شوند.

 

CVSS

Score Severity Version Vector String
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Product
affected from 6.0.0 before 6.0.36 .NET 6.0

لیست محصولات بروز شده

Versions Product
8.0.12 .NET Runtime
9.0.1 .NET Runtime

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Microsoft .NET را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
93,300 Microsoft .NET

نتیجه گیری

با توجه به ماهیت این آسیب‌پذیری و امکان اجرای کد از راه دور (RCE) در کتابخانه DiaSymReader.dll فریم‌ورک .NET ، اقدامات زیر برای کاهش ریسک و محافظت از سیستم‌ها توصیه می‌شود:

  • ارتقاء به نسخه‌های امن: ارتقاء به .NET Runtime نسخه 8.0.12 و 9.0.1 یا بالاتر ضروری است تا این آسیب‌پذیری برطرف شده و امکان سوءاستفاده از buffer over-read از بین برود.
  • کامپایل و استقرار مجدد برنامه‌های خودکفا (Self-Contained Applications): برنامه‌هایی که با نسخه‌های آسیب‌پذیر ایجاد شده‌اند باید کامپایل مجدد شوند وابستگی‌های dll به نسخه امن تغییر یابند تا اجرای کد دلخواه مهاجم غیرممکن شود.
  • محدودسازی دسترسی به منابع آسیب‌پذیر: دسترسی برنامه‌ها و سرویس‌هایی که از dll استفاده می‌کنند باید محدود شود و با استفاده از فایروال و سیاست‌های کنترل دسترسی، سطح حمله کاهش یابد.
  • مانیتورینگ و لاگ‌گیری: بررسی عملکرد غیرمعمول برنامه‌ها و پردازش فایل‌های ورودی مشکوک، شناسایی تلاش‌های سوءاستفاده و پاسخ سریع به تهدیدات را ممکن می‌سازد.
  • آموزش و آگاهی تیم توسعه: تیم توسعه باید نسبت به ریسک‌های buffer over-read و اجرای کد از راه دور آگاه باشد و بهترین شیوه‌های برنامه‌نویسی امن را رعایت کند.

اجرای این اقدامات به‌طور مستقیم ریسک سوءاستفاده از این آسیب پذیری را کاهش داده و امنیت، یکپارچگی و در دسترس‌پذیری سیستم‌های مبتنی بر .NET را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

  • Initial Access (TA0001)
    مهاجم می‌تواند با ارسال فایل‌های ورودی مخرب (مثلاً فایل‌های دیباگ یا نمادهای آلوده) به برنامه‌هایی که ازdll استفاده می‌کنند، دسترسی اولیه به آسیب‌پذیری ایجاد کند.
  • Execution (TA0002)
    با بهره‌برداری موفق از باگ Buffer Over-read، مهاجم می‌تواند اجرای کد دلخواه روی فرآیند هدف را به دست آورد که منجر به Remote Code Execution (RCE) می‌شود.
  • Persistence (TA0003)
    در صورت موفقیت در اجرای کد، مهاجم می‌تواند سرویس‌ها یا اسکریپت‌های مخرب را در سیستم هدف ثبت کند تا دسترسی پایدار داشته باشد (این امر وابسته به سطح دسترسی فرآیند است).
  • Privilege Escalation (TA0004)
    اگر برنامه آسیب‌پذیر با دسترسی بالا اجرا شود، کد مخرب می‌تواند به سطح دسترسی سیستم یا ادمین ارتقا یابد.
  • Command and Control (TA0011)
    پس از RCE، مهاجم می‌تواند کانال ارتباطی از راه دور مانند reverse shell یا ارتباط HTTP/Sایجاد کرده و کنترل سیستم را در اختیار بگیرد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-36855
  2. https://www.cvedetails.com/cve/CVE-2025-36855/
  3. https://www.herodevs.com/vulnerability-directory/cve-2025-21176
  4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21176
  5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-36855
  6. https://vuldb.com/?id.323082
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-36855
  8. https://cwe.mitre.org/data/definitions/126.html

همچنین ممکن است دوست داشته باشید

CVE-2025-54258

CVE-2025-10172

CVE-2025-10171

CVE-2025-58135

CVE-2025-58131

CVE-2025-9959

CVE-2025-36854

CVE-2025-26210

CVE-2025-57052

CVE-2025-57833

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.