- شناسه CVE-2025-48057 :CVE
- CWE-296 :CWE
- yes :Advisory
- منتشر شده: می 27, 2025
- به روز شده: می 27, 2025
- امتیاز: 9.3
- نوع حمله: Unknown
- اثر گذاری: Spoofing
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Icinga
- محصول: icinga2
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
در نسخههای آسیبپذیر Icinga 2، مهاجم میتواند با ارسال یک درخواست گواهی جعلی، فرآیند تمدید گواهی را دور بزند و گواهی معتبر اما غیرمجاز دریافت کند. این گواهی میتواند برای جعل nodeهای معتبر استفاده شود و امنیت کل شبکه را تهدید کند. این آسیبپذیری تنها در سیستمهایی شناسایی شده است که از نسخههای قدیمیتر OpenSSL (قبل از 1.1.0) استفاده میکنند.
توضیحات
در برخی نسخههای Icinga 2، بهدلیل ضعف در عملکرد نسخههای قدیمی OpenSSL، تابع VerifyCertificate() ممکن است گواهیهای تقلبی را به اشتباه معتبر تشخیص دهد. این مشکل به مهاجم این امکان را میدهد که با یک اتصال TLS مستقیم به سرور master، یک گواهی جعلی را طوری ارسال کند که سیستم آن را بهعنوان تمدید یک گواهی معتبر بپذیرد. در نتیجه، مهاجم میتواند با دریافت یک گواهی ظاهراً معتبر، از آن برای جعل nodeهای قابل اعتماد استفاده کند.
اگرچه nodeهای غیر-master فقط یک پیام خطای اشتباه در لاگ ثبت میکنند، اما با رسیدن درخواست به سرور master، آسیبپذیری فعال میشود. این مسئله فقط روی سیستمهایی رخ میدهد که از OpenSSL نسخه قدیمیتر از 1.1.0 استفاده میکنند، چون در این نسخهها یک پرچم (flag)داخلی باعث رد شدن از بخشی از فرآیند تأیید گواهی میشود. این پرچم از نسخه OpenSSL 1.1.0 به بعد حذف شده و در نتیجه نسخههای جدید در برابر این حمله ایمن هستند.
CVSS
| Score | Severity | Version | Vector String |
| 9.3 | CRITICAL | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at >= 2.14.0, < 2.14.6 | icinga2 |
| affected at >= 2.13.0, < 2.13.12 | icinga2 |
| affected at < 2.12.12 | icinga2 |
لیست محصولات بروز شده
| Versions | Product |
| 2.14.6 | icinga2 |
| 2.13.12 | icinga2 |
| 2.12.12 | icinga2 |
نتیجه گیری
به کاربران توصیه میشود هرچه سریعتر Icinga 2 را به نسخههای امن (2.12.12، 2.13.12 یا 2.14.6) بهروزرسانی کرده و در صورت امکان از نسخههای جدیدتر OpenSSL استفاده کنند. همچنین، محدود کردن دسترسی مستقیم به سرور master و غیرفعالسازی صدور گواهیهای جدید بهعنوان راهکار موقت میتواند بسیار موثر باشد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-48057
- https://www.cvedetails.com/cve/CVE-2025-48057/
- https://github.com/Icinga/icinga2/security/advisories/GHSA-7vcf-f5v9-3wr6
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48057
- https://vuldb.com/?id.310384
- https://nvd.nist.gov/vuln/detail/CVE-2025-48057
- https://github.com/Icinga/icinga2/commit/34c93a2542bbe4e9886d15bc17ec929ead1aa152
- https://github.com/Icinga/icinga2/commit/4023128be42b18a011dda71ddee9ca79955b89cb
- https://github.com/Icinga/icinga2/commit/60f75f4a3d5cbb234eb3694ba7e9076a1a5b8776
- https://github.com/Icinga/icinga2/commit/9ad5683aab9eb392c6737ff46c830a945c9e240f
- https://github.com/Icinga/icinga2/commit/9b2c05d0cc09210bdeade77cf9a73859250fc48d
- https://cwe.mitre.org/data/definitions/296.html
