- شناسه CVE-2025-5473 :CVE
- CWE-190 :CWE
- yes :Advisory
- منتشر شده: ژوئن 6, 2025
- به روز شده: ژوئن 6, 2025
- امتیاز: 7.8
- نوع حمله: Remote code execution(RCE)
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: نرم افزارهای کاربردی
- برند: GIMP
- محصول: GIMP
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری شناسایی شده در فرآیند تجزیه فایلهای ICO در نرمافزار GIMP به مهاجم اجازه میدهد تا با استفاده از یک فایل مخرب، کدی دلخواه را از راه دور اجرا کند. این ضعف امنیتی ناشی از بررسی نکردن درست دادههای ورودی بوده که باعث سرریز عدد صحیح (Integer Overflow) و در نهایت امکان نوشتن داده در حافظه را فراهم میسازد.
توضیحات
آسیبپذیری CVE-2025-5473 در فرآیند تجزیه فایلهای ICO در GIMP شناسایی شده است. در صورت بازکردن یک فایل مخرب ICO توسط کاربر ، مهاجم میتواند از این ضعف برای اجرای کد دلخواه در بستر فرآیند فعلی استفاده کند. این آسیبپذیری به دلیل عدم بررسی دقیق دادههای ورودی منجر به سرریز عدد صحیح شده که امکان دستکاری حافظه را فراهم میسازد. اجرای موفقیتآمیز این حمله نیازمند تعامل کاربر است (مثلاً باز کردن فایل مخرب یا بازدید از یک صفحه مخرب). این آسیب پذیری محرمانگی (confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری (availability) را تحت تاثیر قرار می دهد.
CVSS
| Score | Severity | Version | Vector String |
| 7.8 | HIGH | 3.0 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 3.0.2 | GIMP |
لیست محصولات بروز شده
| Versions | Product |
| 3.0.4 | GIMP |
نتیجه گیری
به کابران توصیه میشود به منظور جلوگیری از سوءاستفاده احتمالی در اسرع وقت به نسخه 3.0.4 یا بالاتر به روزرسانی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-5473
- https://www.cvedetails.com/cve/CVE-2025-5473/
- https://www.zerodayinitiative.com/advisories/ZDI-25-321/
- https://www.gimp.org/news/2025/05/18/gimp-3-0-4-released/#general-bugfixes
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-5473
- https://vuldb.com/?id.311066
- https://nvd.nist.gov/vuln/detail/CVE-2025-5473
- https://cwe.mitre.org/data/definitions/190.html
