CVE-2025-54258

چکیده

آسیب‌پذیری استفاده پس از آزادسازی (Use After Free)، در Adobe Substance 3D Modeler نسخه‌های 1.22.2 و پیش از آن شناسایی شده است. این آسیب پذیری امکان اجرای کد دلخواه را در زمینه کاربر فعلی فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-54258 در Adobe Substance 3D Modeler، نرم‌افزار مدل‌سازی سه‌بعدی، ناشی از ضعف استفاده پس از آزادسازی (مطابق با CWE-416) است. این آسیب پذیری در نسخه‌های 1.22.2 و قبل تر وجود دارد و به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد با ترغیب کاربر به باز کردن فایل مخرب، حافظه آزادشده را ارجاع دهند و در نتیجه کد دلخواه (ACE) را در زمینه کاربر فعلی اجرا کنند. شدت این آسیب‌پذیری بالا ارزیابی می شود، بهره برداری به صورت لوکال بوده، پیچیدگی حمله پایین است، اما نیازمند تعامل کاربر برای باز کردن فایل مخرب می باشد.

تأثیرات این آسیب‌پذیری شامل نقض محرمانگی با امکان افشای داده‌های حافظه، یکپارچگی به دلیل تغییر عملکرد نرم‌افزار و در دسترس‌پذیری با امکان اختلال در عملکرد است که می‌تواند منجر به اجرای کد مخرب یا سرقت داده‌های کاربر شود. شرکت Adobe این ضعف را در نسخه 1.22.4 با اصلاح مدیریت حافظه پچ کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Adobe Substance 3D Modeler را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

با توجه به ماهیت این آسیب‌پذیری و امکان اجرای کد دلخواه در Adobe Substance 3D Modeler، اقدامات زیر برای کاهش ریسک و محافظت از سیستم‌ها توصیه می‌شود:

• به‌روزرسانی به نسخه امن: نصب آخرین نسخه نرم‌افزار، یعنی 1.22.4 یا بالاتر، که شامل اصلاحات مدیریت حافظه و رفع ضعف استفاده پس از آزادسازی است.
• احتیاط در باز کردن فایل‌ها: کاربران باید از باز کردن فایل‌های ناشناس یا مشکوک خودداری کنند و از منابع معتبر برای دریافت فایل‌ها استفاده شود.
• اجرای محیط‌های ایزوله: برای باز کردن فایل‌های خارجی یا ناشناس، استفاده از محیط‌های ایزوله (Sandbox) یا ماشین‌های مجازی توصیه می‌شود تا از تأثیر مستقیم بر سیستم اصلی جلوگیری شود.
• مانیتورینگ و لاگ‌گیری: فعالیت‌های غیرمعمول نرم‌افزار و خطاهای حافظه باید ثبت و نظارت شوند تا شناسایی سریع تلاش‌های سوءاستفاده امکان‌پذیر گردد.
• آموزش و آگاهی کاربران: کاربران و تیم‌های توسعه و طراحی باید با ریسک‌های مرتبط با ضعف‌های حافظه، به ویژه استفاده پس از آزادسازی، آشنا باشند و بهترین شیوه‌های امنیتی را رعایت کنند.

اجرای این اقدامات می‌تواند به‌طور مستقیم ریسک سوءاستفاده از آسیب‌پذیری را کاهش داده و امنیت سیستم‌ها و داده‌های کاربران را تضمین کند.

امکان استفاده در تاکتیک های Mitre Attack

• Initial Access (TA0001)
  مهاجم می‌تواند یک فایل مخرب (Malicious File) بسازد و کاربر را برای باز کردن آن در نرم‌افزار Substance 3D Modeler ترغیب کند.
• Execution (TA0002)
  پس از باز شدن فایل مخرب، از ضعف Use After Free سوءاستفاده شده و کد دلخواه در زمینه کاربر فعلی اجرا می‌شود.
• Persistence (TA0003)
  اگر کد مخرب ذخیره یا سرویس پایدار ایجاد کند، مهاجم می‌تواند دسترسی خود را ماندگار کند.
• Credential Access (TA0006)
  بدافزار اجراشده می‌تواند داده‌های حافظه یا فایل‌های کاربری را استخراج کند که ممکن است شامل رمزهای ذخیره‌شده یا توکن‌ها باشد.
• Exfiltration (TA0010)
  داده‌های جمع‌آوری‌شده می‌توانند از طریق اینترنت به مهاجم ارسال شوند.
• Impact (TA0040)

کرش نرم‌افزار یا از کار افتادن سیستم

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-54258
2. https://www.cvedetails.com/cve/CVE-2025-54258/
3. https://helpx.adobe.com/security/products/substance3d-modeler/apsb25-92.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54258
5. https://vuldb.com/?id.323470
6. https://nvd.nist.gov/vuln/detail/CVE-2025-54258
7. https://cwe.mitre.org/data/definitions/416.html