خانه » CVE-2025-46647
هشدار‌های سایبری

CVE-2025-46647

Apache APISIX: Improper Validation Of Issuer From Introspection Discovery Url In Plugin Openid-Connect

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 5 بازدید
  • شناسه CVE-2025-46647 :CVE
  • CWE-302 :CWE
  • yes :Advisory
  • منتشر شده: جولای 2, 2025
  • به روز شده: جولای 2, 2025
  • امتیاز: 5.3
  • نوع حمله: Unknown
  • اثر گذاری: Unknown
  • حوزه: وب‌سرورها
  • برند: Apache Software Foundation
  • محصول: Apache APISIX
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری دور زدن احراز هویت در پلاگین openid-connect نرم‌افزار Apache APISIX در نسخه‌های پیش از 3.12.0 شناسایی شده است. این ضعف ناشی از اعتبارسنجی نادرست Issuer در حالت introspection است و زمانی رخ می‌دهد که چندین Issuer از یک کلید خصوصی مشترک استفاده کنند و سیستم تنها به تمایز مقدار Issuer متکی باشد. در این شرایط، مهاجمان با حساب معتبر در یک Issuer می‌توانند بدون مجوز به سایر Issuerها دسترسی پیدا کنند.

توضیحات

آسیب‌پذیری CVE-2025-46647  در پلاگین openid-connect  نرم‌افزار Apache APISIX  پیش از نسخه‌ی 3.12.0 شناسایی شده است. این ضعف امنیتی ناشی از اعتبارسنجی نادرست فیلد issuer  در حالت introspection است. مشکل زمانی رخ می‌دهد که چندین سرویس‌دهنده (issuer) از یک جفت کلید رمزنگاری مشترک (public/private key pair)  استفاده کنند و سامانه تنها به مقدار issuer  برای تمایز بین آن‌ها متکی باشد. در چنین شرایطی، مهاجمی که حساب کاربری معتبر روی یکی از issuerها دارد، می‌تواند با سوءاستفاده از این ضعف، به‌طور غیرمجاز به منابع و حساب‌های متعلق به سایر  issuerها دسترسی پیدا کند.

این آسیب‌پذیری در دسته‌ی دور زدن احراز هویت (Authentication Bypass) قرار می‌گیرد و مطابق با CWE-302: Authentication Bypass by Assumed-Immutable Data  توصیف می‌شود. حمله دارای پیچیدگی بالا است، نیازی به تعامل کاربر ندارد و اثر اصلی آن بر محرمانگی داده‌ها و دسترسی غیرمجاز به منابع محافظت‌شده است.

Apache  در نسخه‌ی 3.12.0 با بهبود فرآیند اعتبارسنجی issuer در پلاگین openid-connect این مشکل را برطرف کرده است. برای کاهش ریسک، کاربران باید نرم‌افزار خود را فوراً به نسخه‌ی 3.12.0 یا بالاتر ارتقا دهند و اطمینان حاصل کنند که هر issuer از کلیدهای رمزنگاری منحصربه‌فرد استفاده می‌کند. همچنین توصیه می‌شود پیکربندی‌های مرتبط با introspection به‌دقت بررسی شده و دسترسی‌های غیرمجاز در سطح API تحت مانیتورینگ قرار گیرند.

CVSS

Score Severity Version Vector String
5.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

 لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 3.12.0 Apache APISIX

لیست محصولات بروز شده

Versions Product
version 3.12.0 or higher Apache APISIX

 نتیجه گیری

با توجه به پتانسیل این آسیب‌پذیری برای دور زدن احراز هویت و دسترسی غیرمجاز به سیستم‌های حساس، کاربران Apache APISIX باید فوراً اقدامات زیر را انجام دهند:

  • به‌روزرسانی فوری: نرم‌افزار Apache APISIX را به نسخه 3.12.0 یا بالاتر از طریق وب‌سایت رسمی Apache به‌روزرسانی کنید.
  • بررسی پیکربندی: اطمینان حاصل کنید که پلاگین openid-connect تنها در صورت ضرورت و به طور ایمن در حالت introspection استفاده شود.
  • مدیریت کلیدهای خصوصی: از استفاده از کلیدهای خصوصی مشترک بین issuer های مختلف خودداری کرده و هر issuer را به صورت منحصربه‌فرد پیکربندی کنید.
  • نظارت بر API: فراخوانی های API غیرمجاز را با ابزارهای مانیتورینگ شبکه بررسی و شناسایی کنید.
  • فایروال اپلیکیشن وب (WAF): درخواست‌های مشکوک به endpointهای openid-connect را فیلتر کنید.
  • محدود کردن دسترسی شبکه: سرورهای APISIX را از دسترسی مستقیم به اینترنت جدا کرده و فقط از طریق شبکه‌های داخلی یا VPN در دسترس قرار دهید.

اجرای این اقدامات به‌صورت یکپارچه امنیت سیستم را تضمین کرده و ریسک بهره‌برداری از آسیب‌پذیری را به حداقل می‌رساند. کاربران همچنین باید وب‌سایت Apache APISIX را برای دریافت اطلاعات و به‌روزرسانی‌های رسمی به‌طور منظم بررسی کنند.

امکان استفاده در تاکتیک های Mitre Attack

  • Initial Access (TA0001)
    T1190 – Exploit Public-Facing Application
    مهاجم می‌تواند با سوءاستفاده از آسیب‌پذیری در پلاگین openid-connect، بدون نیاز به اعتبارنامه معتبر از طریق API در معرض اینترنت، دسترسی اولیه به سیستم هدف پیدا کند.
  • Credential Access (TA0006)
    003 – Modify Authentication Process
    این ضعف ناشی از اعتبارسنجی نادرست فیلد issuer است که به مهاجم اجازه می‌دهد فرآیند احراز هویت را دور بزند و از حساب معتبر یک issuer برای دسترسی به سایر issuerها استفاده کند.
  • Privilege Escalation (TA0004)
    T1078 – Valid Accounts
    مهاجم با داشتن حساب معتبر در یک issuer می‌تواند سطح دسترسی خود را به منابع و حساب‌های متعلق به سایر issuerها گسترش دهد.
  • Persistence (TA0003)
    T1136 – Create Account
    پس از دور زدن احراز هویت، مهاجم می‌تواند از طریق API حساب‌های کاربری جدید یا دسترسی‌های ماندگار ایجاد کند.
  • Discovery (TA0007)
    T1087 – Account Discovery
    دسترسی غیرمجاز به API به مهاجم این امکان را می‌دهد که وجود حساب‌های کاربری و issuerهای دیگر را شناسایی و نقشه‌برداری کند.
  • Impact (TA0040)
    T1565 – Data Manipulation
    فراخوانی‌های غیرمجاز API ممکن است منجر به تغییر یا دستکاری داده‌ها در سرویس‌های متصل به APISIX شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-46647
  2. https://www.cvedetails.com/cve/CVE-2025-46647/
  3. https://lists.apache.org/thread/yrpp2cd3o4qkxlrh421mq8gsrt0k4x0w
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46647
  5. https://vuldb.com/?id.314595
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-46647
  7. https://cwe.mitre.org/data/definitions/302.html

همچنین ممکن است دوست داشته باشید

CVE-2025-5931

CVE-2025-52434

CVE-2025-9426

CVE-2025-9481

CVE-2025-53418

CVE-2025-57788

CVE-2025-9482

CVE-2025-9483

CVE-2025-9443

CVE-2025-50059

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.