CVE-2025-46730

چکیده

در ابزار امنیتی MobSF، نسخه‌های حداکثر تا 4.3.2 ، یک آسیب‌پذیری از نوع فشرده‌سازی بیش‌ازحد داده (ZIP of Death) شناسایی شده است که می‌تواند منجر به اختلال کامل در سرویس‌دهی (Denial of Service) سرور شود.

توضیحات

ابزار Mobile Security Framework که برای تحلیل امنیتی اپلیکیشن‌های موبایل مورد استفاده قرار می‌گیرد، به کاربران اجازه می‌دهد فایل‌های فشرده (ZIP) را جهت آنالیز استاتیک بارگذاری کنند. در نسخه‌های 4.3.2 و پایین‌تر، مکانیزم استخراج این فایل‌ها فاقد بررسی حجم نهایی داده‌های استخراج‌شده است. این ضعف باعث می‌شود مهاجم بتواند با بارگذاری یک فایل ZIP به‌ظاهر کوچک اما دارای حجم استخراجی بسیار بالا، فضای دیسک سرور را به‌طور کامل مصرف کند. این حمله که به عنوان ZIP of Death یا بمب فشرده‌سازی شناخته می‌شود، منجر به اختلال کامل در سرویس‌دهی (Denial of Service – DoS) می‌گردد. با توجه به این‌که MobSF معمولاً روی سرورهایی همراه با سایر ابزارهای امنیتی یا سامانه‌های وب مستقر است، این حمله می‌تواند کل سرویس‌های میزبان را مختل کند. این آسیب پذیری با یک Commit در GitHub به شناسه ی  6987a946485a795f4fd38cebdb4860b368a1995d پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

با توجه به اینکه این آسیب‌پذیری می‌تواند منجر به اختلال کامل در سرور شود، توصیه می‌شود نسخه پچ شده ی MobSF را نصب کرده و مکانیزم‌هایی جهت بررسی حجم فایل استخراج‌شده پیش از انجام عملیات پیاده‌سازی گردد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-46730
2. https://www.cvedetails.com/cve/CVE-2025-46730/
3. https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-c5vg-26p8-q8cr
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46730
5. https://vuldb.com/?id.307513
6. https://nvd.nist.gov/vuln/detail/CVE-2025-46730
7. https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/6987a946485a795f4fd38cebdb4860b368a1995d
8. https://cwe.mitre.org/data/definitions/409.html