CVE-2025-53103

چکیده

یک آسیب‌پذیری امنیتی در نسخه‌های 5.12.0 تا 5.13.1 از فریم‌ورک JUnit شناسایی شده است که در صورت استفاده از قابلیت OpenTestReportGeneratingListener برای تولید فایل‌های گزارش XML می‌تواند منجر به افشای اطلاعات حساس نظیر توکن Git شود.

توضیحات
JUnit  یک فریم‌ورک تست برای زبان Java و محیط JVM است. در نسخه‌های 5.12.0 تا 5.13.1، استفاده از قابلیت اختیاری تولید گزارش تست با فرمت XML از طریق OpenTestReportGeneratingListener ممکن است منجر به افشای اطلاعات حساس Git (مانند Git credentials) شود.
این آسیب‌پذیری در ماژول junit-platform-reporting   رخ می‌دهد، زمانی که مخزنی با استفاده از توکن GitHub یا سایر اطلاعات احراز هویت در آدرس URL کلون می‌شود و این اطلاعات بدون فیلتر در فایل‌های گزارش XML ثبت می‌شوند. اگر این گزارش‌ها به‌صورت عمومی منتشر یا ذخیره شوند، مهاجمان می‌توانند با سرقت این توکن‌ها، اقداماتی مانند دسترسی غیرمجاز به مخازن، اعمال تغییرات یا جعل هویت کاربر یا برنامه را انجام دهند.
در نسخه 5.13.2 این آسیب پذیری برطرف شده است؛ به این صورت که اطلاعات حساس در URL با نماد *** جایگزین شده و ثبت داده‌های Git به‌صورت پیش‌فرض غیرفعال شده است. کاربران تنها در صورت نیاز می‌توانند این قابلیت را به‌صورت دستی با تنظیم junit.platform.reporting.open.xml.git.enabled=true  فعال کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به توسعه‌دهندگان Java که از JUnit برای تست استفاده می‌کنند، توصیه می‌شود هرچه سریع‌تر به نسخه 5.13.2 به‌روزرسانی کرده و به منظور جلوگیری از افشای احتمالی اطلاعات احراز هویت، از انتشار عمومی گزارش‌های XML بدون بررسی محتوای آن‌ها خودداری کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-53103
2. https://www.cvedetails.com/cve/CVE-2025-53103/
3. https://github.com/junit-team/junit-framework/security/advisories/GHSA-m43g-m425-p68x
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-53103
5. https://vuldb.com/?id.314578
6. https://nvd.nist.gov/vuln/detail/CVE-2025-53103
7. https://github.com/junit-team/junit-framework/commit/d4fc834c8c1c0b3168cd030c13551d1d041f51bc
8. https://cwe.mitre.org/data/definitions/312.html