خانه » CVE-2025-40909
هشدار‌های سایبری

CVE-2025-40909

Perl Threads Have A Working Directory Race Condition Where File Operations May Target Unintended Paths

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 13 بازدید
هشدار سایبری CVE-2025-40909
  • شناسه CVE-2025-40909 :CVE
  • CWE-362/CWE-426 :CWE
  • yes :Advisory
  • منتشر شده: می 30, 2025
  • به روز شده: می 30, 2025
  • امتیاز: 5.9
  • نوع حمله: Unknown
  • اثر گذاری: Unknown
  • حوزه: برنامه نویسی
  • برند: Perl
  • محصول: perl
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در پیاده‌سازی Threadهای زبان Perl شناسایی شده است که به‌دلیل وجود شرایط رقابتی (Race Condition) در مسیر دایرکتوری کاری رخ می‌دهد. در این حالت، ممکن است عملیات مربوط به فایل‌ها در مسیرهایی غیر از آنچه انتظار می‌رود، انجام شوند. این مسئله می‌تواند به مهاجم لوکال اجازه دهد تا به‌طور غیرمجاز فایل‌هایی را اجرا یا به آن‌ها دسترسی پیدا کند.

توضیحات

در نسخه‌های آسیب‌پذیر زبان برنامه‌نویسی Perl (از نسخه 5.13.6 تا پیش از 5.41.13)، زمانی که هنگام ایجاد یک Thread جدید یک دستگیره دایرکتوری (Directory Handle) باز باقی بماند، دایرکتوری کاری فعلی فرآیند (Current Working Directory) به‌طور موقت تغییر می‌یابد تا آن Handle در Thread جدید کپی شود. این تغییر موقتی، برای سایر Threadهای در حال اجرا قابل مشاهده بوده و ممکن است منجر به اجرای کد یا دسترسی به فایل‌ها از مسیرهایی غیرمنتظره شود.

این وضعیت یک شرایط رقابتی (Race Condition) ایجاد می‌کند که مهاجم با دسترسی لوکال می‌تواند از آن سوءاستفاده کرده و عملکرد سیستم را به نفع خود تغییر دهد. این آسیب‌پذیری می‌تواند اصول سه‌گانه امنیت شامل محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) را به‌طور هم‌زمان تحت تأثیر قرار دهد.

CVSS

Score Severity Version Vector String
5.9 MEDIUM 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

لیست محصولات آسیب پذیر

Versions Product
affected from 5.13.6 before 5.41.13 perl

لیست محصولات بروز شده

Versions Product
5.41.13 perl

نتیجه گیری

به کاربران توصیه می‌شود هرچه سریع‌تر زبان برنامه‌نویسی Perl را به نسخه 5.41.13 یا جدیدتر به‌روزرسانی کرده تا از امکان سوءاستفاده از این آسیب‌پذیری و وقوع حملات لوکال جلوگیری شود. این به‌روزرسانی با رفع شرایط رقابتی (Race Condition) موجود، امنیت مسیرهای فایل و اجرای کد را به طور قابل توجهی افزایش می دهد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-40909
  2. https://www.cvedetails.com/cve/CVE-2025-40909/
  3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-40909
  4. https://vuldb.com/?id.310686
  5. https://www.openwall.com/lists/oss-security/2025/05/22/2
  6. https://github.com/Perl/perl5/issues/23010
  7. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1098226
  8. https://github.com/Perl/perl5/issues/10387
  9. https://perldoc.perl.org/5.14.0/perl5136delta#Directory-handles-not-copied-to-threads
  10. https://github.com/Perl/perl5/commit/11a11ecf4bea72b17d250cfb43c897be1341861e
  11. http://www.openwall.com/lists/oss-security/2025/05/23/1
  12. http://www.openwall.com/lists/oss-security/2025/05/30/4
  13. https://nvd.nist.gov/vuln/detail/CVE-2025-40909
  14. https://cwe.mitre.org/data/definitions/362.html
  15. https://cwe.mitre.org/data/definitions/426.html

همچنین ممکن است دوست داشته باشید

CVE-2025-4598

CVE-2025-5054

CVE-2025-5443

CVE-2025-5442

CVE-2025-5441

CVE-2025-20188

CVE-2025-5440

CVE-2025-5439

CVE-2025-5438

CVE-2025-48748

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.