- شناسه CVE-2025-54635 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: آگوست 6, 2025
- به روز شده: آگوست 6, 2025
- امتیاز: 5.9
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Huawei
- محصول: HarmonyOS
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع Use-After-Free در سرویس اعلان توزیعشده سیستمعامل HarmonyOS شناسایی شده است. مهاجم با بهرهبرداری موفق از این آسیب پذیری می تواند دسترسی غیرمجاز به حافظه آزاد شده را بهدست آورده و منجر به اختلال در عملکرد سرویس شود.
توضیحات
آسیبپذیری CVE-2025-54635 در نسخهی 5.1.0 سیستمعامل HarmonyOS شناسایی شده و مربوط به بازگشت اشارهگرهای آزادشده (Released Pointers) در ماژول سرویس اعلان توزیع شده است. این باگ از نوع استفاده پس از آزادسازی بوده (مطابق با CWE-416) و ناشی از مدیریت نادرست حافظه پس از آزادسازی است.
مهاجم در صورت بهرهبرداری موفق، میتواند به دادههایی که قبلاً آزاد شده دسترسی پیدا کند یا عملکرد های غیرمنتظرهای در سیستم ایجاد کند که این موضوع ممکن است در دسترس پذیری سیستم را تحت تاثیر قرار دهد.
طبق بولتن امنیتی ماه اگوست 2025 شرکت هواوی این آسیب پذیری در قالب پچ شده منتشر کرده، هرچند نسخه ی دقیق پچ اعلام نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.9 | MEDIUM | 3.1 | CVSS:3.1/AV:A/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 5.1.0 | HarmonyOS |
نتیجه گیری
به کاربران دستگاههای مبتنی بر HarmonyOS توصیه میشود ضمن پیگیری مداوم بهروزرسانیهای رسمی هواوی، به سرعت نسبت به نصب آخرین نسخه ها اقدام کنند تا ریسک احتمالی ناشی از این آسیبپذیری به حداقل برسد. همچنین بررسی و تقویت مدیریت حافظه در سرویسهای حساس میتواند از بروز حملات مشابه جلوگیری کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-54635
- https://www.cvedetails.com/cve/CVE-2025-54635/
- https://consumer.huawei.com/en/support/bulletin/2025/8/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54635
- https://vuldb.com/?id.318945
- https://nvd.nist.gov/vuln/detail/CVE-2025-54635
- https://cwe.mitre.org/data/definitions/416.html
