- شناسه CVE-2025-4374 :CVE
- CWE-266 :CWE
- yes :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: برنامه نویسی
- برند: Red Hat
- محصول: Red Hat Quay 3
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری CVE-2025-4374 در نرمافزار Quay به تخصیص نادرست سطح دسترسی هنگام استفاده بهعنوان پراکسی cache مربوط میشود. این آسیب پذیری میتواند منجر به اعطای ناخواسته مجوز Admin به کاربران یا رباتها شود.
توضیحات
در نسخههای آسیبپذیر Quay، زمانی که یک سازمان بهعنوان proxy cache عمل میکند و یک کاربر یا ربات یک image را از یک مخزن که هنوز mirrored نشده، pull میکند، Quay بهصورت خودکار مخزن جدیدی ایجاد کرده و به اشتباه مجوز Admin را به درخواستکننده اختصاص میدهد. این آسیب پذیری ناشی از مدیریت نادرست سطح دسترسی در فرآیند ایجاد مخزن است که میتواند منجر به دسترسی غیرمجاز، تغییر پیکربندیها یا دستکاری دادهها شود.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| All versions are affected | Red Hat Quay 3 |
نتیجه گیری
کاربران باید تا زمان ارائه پچ امنیتی، دسترسی به مخازن آسیبپذیر را محدود کرده و از اقدامات امنیتی مانند فایروال و نظارت بر سیستمها استفاده کنند. همچنین کاربران باید به محض ارائه پچ امنیتی رسمی، سریعاً سیستمها را بهروز رسانی نمایند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-4374
- https://www.cvedetails.com/cve/CVE-2025-4374/
- https://bugzilla.redhat.com/show_bug.cgi?id=2364267
- https://access.redhat.com/security/cve/CVE-2025-4374
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4374
- https://vuldb.com/?id.307561
- https://nvd.nist.gov/vuln/detail/CVE-2025-4374
- https://cwe.mitre.org/data/definitions/266.html
