خانه » CVE-2025-4821
هشدار‌های سایبری

CVE-2025-4821

Incorrect Congestion Window Growth By Invalid ACK Ranges

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 273 بازدید
هشدار سایبری CVE-2025-4821
  • شناسه CVE-2025-4821 :CVE
  • CWE-770 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 18, 2025
  • به روز شده: ژوئن 18, 2025
  • امتیاز: 7.5
  • نوع حمله: protocol‑logic DoS
  • اثر گذاری: Denial of Service (Dos)
  • حوزه: پروتکل‌های رمزگذاری و ارتباطی
  • برند: Cloudflare
  • محصول: quiche
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در کتابخانه quiche شرکت Cloudflare باعث می‌شود پنجره کنترل تراکم (congestion window) به صورت غیرعادی افزایش یابد. مهاجم از راه دور و بدون نیاز به احراز هویت می‌تواند با ارسال فریم‌های ACK جعلی، شامل شماره بسته‌هایی که هرگز ارسال نشده‌اند، نرخ ارسال داده را بیش از ظرفیت واقعی شبکه افزایش دهد. این وضعیت ممکن است موجب افت کارایی شبکه و در موارد شدید منجر به وقوع پنیک (overflow panic) و اختلال در سرویس شود.

توضیحات

آسیب‌پذیری CVE-2025-4821 در کتابخانه quiche شرکت Cloudflare از نوع تخصیص منابع بدون محدودیت است که مطابق با CWE-770 طبقه‌بندی می‌شود. quiche پیاده‌سازی QUIC (پروتکل حمل‌ونقل مدرن برای HTTP/3 که نسبت به TCP سرعت و امنیت بهتری ارائه می‌دهد) و HTTP/3 به زبان Rust است و Cloudflare آن را در پروکسی‌ها و سرویس‌های خود استفاده می کند.

منطق کنترل تراکم در نسخه‌های پیش از 0.24.4، طبق RFC 9000 (استاندارد QUIC) رنج‌های ACK را به‌درستی اعتبارسنجی نمی‌کند. مهاجم می‌تواند ابتدا تبادل اولیه برای برقراری ارتباط (handshake) در QUIC را کامل کند و یک انتقال داده تحت کنترل تراکم را به‌سمت خود آغاز نماید تا جریان را تحت کنترل داشته باشد. سپس با ارسال فریم‌های ACK که بازه‌های گسترده‌ای از شماره بسته‌ها (packet numbers) را شامل می‌شوند (مطابق بخش 19.3 از RFC 9000) از جمله شماره‌هایی که هرگز ارسال نشده‌اند، مهاجم وضعیت کنترل تراکم سرور قربانی را تغییر می‌دهد.

این وضعیت باعث رشد غیرعادی پنجره کنترل تراکم می‌شود؛ بدین‌معنی که مقدار بایت‌های در جریان انتقال (bytes‑in‑flight) از حد انتظار فراتر رفته و داده بیشتری نسبت به ظرفیت واقعی مسیر شبکه ارسال می‌گردد. بهره‌برداری از این ضعف بسیار ساده و قابل خودکارسازی است؛ مهاجم می‌تواند با اسکریپت‌ها یا ابزارهای QUIC، از راه دور، بدون نیاز به سطح دسترسی خاص و بدون تعامل کاربر، ACKهای جعلی با بازه بزرگ ارسال کند و پنجره کنترل تراکم را به‌سرعت افزایش دهد. در موارد شدید، این رشد ممکن است از محدودیت نوع متغیر داخلی فراتر رود و منجر به سرریز عدد صحیح و ایجاد پنیک یا کرش (panic/crash) برنامه شود. پیامد اصلی این آسیب‌پذیری تأثیر بالا بر دسترس‌پذیری است. این ضعف در نسخه 0.24.4 کتابخانه quiche پچ شده است.

CVSS

Score Severity Version Vector String
7.5 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at <0.24.4 quiche

لیست محصولات بروز شده

Versions Product
0.24.4 quiche

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Cloudflare quiche را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
10 site:.ir “Cloudflare” “quiche” Cloudflare quiche

نتیجه گیری

این آسیب‌پذیری با شدت بالا در quiche می‌تواند با دستکاری مکانیزم کنترل تراکم موجب وقوع پنیک و کرش‌های گسترده شده و سرویس‌های مبتنی بر HTTP/3 یا اپلیکیشن‌های مستقل را مختل کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

  • به‌روزرسانی فوری: تمام وابستگی‌ها به quiche را به نسخه 0.24.4 یا بالاتر به روزرسانی کنید.
  • اعتبارسنجی ACKها: در پیاده‌سازی‌های سفارشی، رنج‌های ACK را مطابق با بخش 19.3 از RFC 9000 بررسی کنید و ACKهایی که بسته‌های آینده یا ارسال‌نشده را اعلام می‌کنند را رد نمایید (ACK ranges validation — RFC 9000 §19.3).
  • نظارت شبکه: رشد غیرعادی cwnd و ACKهای مشکوک را بررسی کنید و برای این رخدادها هشدار تنظیم نمایید.
  • فایروال QUIC: از فایروال اپلیکیشن وب (WAF) و راهکارهایی مانند Cloudflare Gateway برای فیلتر کردن ترافیک QUIC مشکوک استفاده کنید و نرخ ACKها را محدود (rate‑limit) نمایید.
  • آموزش توسعه‌دهندگان: تیم‌های توسعه را در زمینه ریسک‌های مرتبط با کنترل تراکم در QUIC و اهمیت اعمال پچ های امنیتی آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و نظارت ACKها، ریسک بهره‌برداری از این آسیب پذیری را کاهش داده و پایداری سرویس‌های QUIC/HTTP3 را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از راه دور با باز کردن جلسه QUIC/HTTP3 قانونی یا نیمه‌قانونی (handshake کامل یا تکمیل‌شده) و سپس ارسال فریم‌های ACK جعلی حاوی رنج‌های packet number که هرگز ارسال نشده‌اند، وارد مسیر تراکنش کنترل تراکم می‌شود؛ به‌عبارت دیگر نقطه ورود شبکه‌ای است که نیاز به احراز هویت یا نفوذ در میزبان ندارد و صرفاً با ترافیک شبکه قابل انجام است.

Defense Evasion (TA0005)
با ارسال ACKهای جعلی و تغییر پارامترهای کنترلی شبکه، مهاجم می‌تواند مکانیزم‌های ساده تشخیص رفتار غیرعادی را دور بزند (مثلاً آستانه‌های نرخ معمولی) و باعث شود نظارت‌های سنتی بر packet loss یا latency کارایی تشخیصی پایین‌تری داشته باشند.

Impact (TA0040)
پیامد عملیاتی اصلی تأثیر روی دسترس‌پذیری است. افزایش غیرمترقبه cwnd می‌تواند موجب ارسال بیش‌ازحد داده، اشباع لینک، کرش برنامه (panic/overflow) یا اختلال گسترده در سرویس‌های مبتنی بر QUIC/HTTP3 شود. اثر روی محرمانگی یا یکپارچگی مستقیم نیست اما قطع سرویس می‌تواند زنجیره‌ای سبب اختلال در سرویس‌های وابسته شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-4821
  2. https://www.cvedetails.com/cve/CVE-2025-4821/
  3. https://github.com/cloudflare/quiche/security/advisories/GHSA-6m38-4r9r-5c4m
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-4821
  5. https://vuldb.com/?id.313227
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-4821
  7. https://cwe.mitre.org/data/definitions/770.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.