- شناسه CVE-2025-3891 :CVE
- CWE-248 :CWE
- no :Advisory
- منتشر شده: آوریل 29, 2025
- به روز شده: آوریل 29, 2025
- امتیاز: 5.3
- نوع حمله: Denial of Service
- اثر گذاری: Denial of Service (Dos)
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Red Hat
- محصول: Linux
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در نسخههای ۷، ۸ و ۹ سیستمعامل Red Hat Enterprise Linux شناسایی شده است. این آسیبپذیری مربوط به عملکردی ناشناخته در مؤلفه mod_auth_openidc است و منجر به بروز حالت استثنای کنترلنشده (uncaught exception) میشود. این آسیبپذیری با شناسه CVE-2025-3891 شناخته میشود و امکان اکسپلویت از راه دور را دارد.
توضیحات
یک اشکال در ماژول mod_auth_openidc برای وبسرور Apache شناسایی شده که به مهاجم ناشناس اجازه میدهد با ارسال یک درخواست POST خالی، در حالتی که دستور OIDCPreservePost فعال باشد، باعث کرش کردن مداوم سرور و در نتیجه انکار سرویس (DoS) شود. این مسئله طبق طبقهبندی CWE با شماره CWE-248 مشخص شده است. در این نوع آسیبپذیری، استثنایی از یک تابع ایجاد میشود ولی توسط کدی دیگر دریافت یا کنترل نمیگردد، که موضوع منجر به اختلال در دسترسی یا از کار افتادن سرویس میشود.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| All versions are affected | Red Hat Enterprise Linux 7 |
| All versions are affected | Red Hat Enterprise Linux 8 |
| All versions are affected | Red Hat Enterprise Linux 9 |
نتیجه گیری
در حال حاضر راهکار مشخصی برای مقابله با این آسیبپذیری اعلام نشده است، اما توصیه میشود در صورت امکان، مؤلفه آسیبدیده با محصول جایگزین امنتری تعویض شود.
منابع
