خانه » CVE-2025-54887
هشدار‌های سایبری

CVE-2025-54887

Jwe: Missing AES-GCM Authentication Tag Validation In Encrypted JWEs

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 17 بازدید
هشدار سایبری CVE-2025-54887
  • شناسه CVE-2025-54887 :CVE
  • CWE-354 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 8, 2025
  • به روز شده: آگوست 8, 2025
  • امتیاز: 9.1
  • نوع حمله: Brute Force
  • اثر گذاری: Information Disclosure
  • حوزه: برنامه نویسی
  • برند: jwt
  • محصول: ruby-jwe
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در کتابخانه Ruby jwe که پیاده‌سازی استاندارد JSON Web Encryption (JWE) است، به دلیل عدم اعتبارسنجی صحیح تگ احراز هویت AES-GCM در نسخه‌های 1.1.0 و پایین‌تر، امکان حمله brute force روی این تگ‌ها را فراهم می‌کند. حمله brute force در اینجا به معنای تلاش مکرر مهاجم برای حدس زدن یا تولید تگ احراز هویت (Authentication Tag) است.

توضیحات

آسیب‌پذیری CVE-2025-54887 در کتابخانه ruby-jwe به مهاجم اجازه می‌دهد با استفاده از روش‌ brute force، برچسب‌های احراز هویت JWEهای رمزگذاری‌شده را جعل کند که می‌تواند منجر به افشای اطلاعات حساس یا ساخت JWE های دلخواه شود. این آسیب‌پذیری حتی کاربرانی که از الگوریتم AES-GCM استفاده نمی‌کنند را تحت تأثیر قرار می‌دهد، زیرا کلید GHASH داخلی ممکن است افشا شده باشد.

اعتبارسنجی نادرست مقدار بررسی یکپارچگی (مطابق با  CWE-354) به شرایطی اشاره دارد که یک سیستم مقادیر بررسی یکپارچگی، مانند تگ های احراز هویت یا مقادیر checksumها، را به‌درستی اعتبارسنجی نمی‌کند. در مورد آسیب پذیری مذکور، عدم اعتبارسنجی تگ احراز هویت در JWEهای رمزگذاری‌شده امکان حمله brute force روی تگ ها را فراهم می‌کند که می‌تواند منجر به افشای کلید GHASH داخلی و رمزگشایی JWEها به مقادیر دلخواه شود. این امر محرمانگی و یکپارچگی داده‌های رمزگذاری‌شده را تهدید می کند. این آسیب‌پذیری در نسخه 1.1.1 با اضافه شدن بررسی طول تگ احراز هویت رفع شده است، اما کاربران پس از به‌روزرسانی باید کلیدهای رمزنگاری را مجدداً ایجاد و جایگزین کنند تا از هرگونه سوءاستفاده احتمالی که ممکن است قبل از رفع مشکل رخ داده باشد، جلوگیری کنند.

CVSS

Score Severity Version Vector String
9.1 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

 لیست محصولات آسیب پذیر

Versions Product
affected at < 1.1.1 ruby-jwe

لیست محصولات بروز شده

Versions Product
1.1.1 ruby-jwe

 نتیجه گیری

کاربران باید در اسرع وقت نسخه نرم‌افزار خود را به 1.1.1یا بالاتر به روزرسانی کرده و پس از آن کلیدهای رمزنگاری را مجددا ایجاد و جایگزین کنند تا از افشای احتمالی کلید داخلی جلوگیری شود. به‌روزرسانی سریع و رعایت نکات امنیتی به حفظ امنیت داده‌ها و جلوگیری از حملات پیشرفته کمک خواهد کرد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-54887
  2. https://www.cve.org/CVERecord?id=CVE-2025-54887
  3. https://github.com/jwt/ruby-jwe/security/advisories/GHSA-c7p4-hx26-pr73
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-54887
  5. https://vuldb.com/?id.319204
  6. https://github.com/jwt/ruby-jwe/commit/1e719d79ba3d7aadaa39a2f08c25df077a0f9ff1
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-54887
  8. https://cwe.mitre.org/data/definitions/354.html

همچنین ممکن است دوست داشته باشید

CVE-2025-8874

CVE-2025-7947

CVE-2025-8660

CVE-2025-8826

CVE-2025-8853

CVE-2025-8833

CVE-2025-8747

CVE-2025-8810

CVE-2025-8816

CVE-2025-8802

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.