خانه » CVE-2025-58364
هشدار‌های سایبری

CVE-2025-58364

Cups: Remote DoS Via Null Dereference

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 267 بازدید
هشدار سایبری CVE-2025-58364
  • شناسه CVE-2025-58364 :CVE
  • CWE-20, CWE-476 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 11, 2025
  • به روز شده: سپتامبر 11, 2025
  • امتیاز: 6.5
  • نوع حمله: crafted-message
  • اثر گذاری: Denial of Service (Dos)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: OpenPrinting
  • محصول: cups
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در سیستم چاپ متن باز CUPS در لینوکس و سیستم عامل هایی که معماری و عملکرد آن ها شبیه یونیکس است به دلیل اعتبارسنجی نامناسب ورودی و سریال زدایی ناامن ویژگی‌های پرینتر رخ می‌دهد. مهاجم از طریق شبکه مجاور و بدون نیاز به احراز هویت می‌تواند با ایجاد ارجاع به اشاره گر تهی سرویس های cups و cups-browsed را دچار کرش کرده و منجر به انکار سرویس (DoS) شود.

توضیحات

آسیب‌پذیری CVE-2025-58364 در کتابخانه libcups مربوط به سیستم چاپ متن باز CUPS ناشی از اعتبارسنجی نادرست ورودی مطابق با CWE-20 و ارجاع به اشاره گر تهی مطابق با CWE-476 است. دلیل اصلی ضعف یک خطای منطقی در تابع ipp_read_io() است که توسط cupsDoRequest() فراخوانی شده و نهایتاً در ippValidateAttributes() باعث ارجاع به اشاره‌گر تهی می‌شود. محل بروز خطا در حلقه‌ی for زیر است که در صورت دریافت یک پاسخ IPP (پروتکل مدیریت چاپ) ساختگی یا دستکاری‌شده، مقدار attr->values[i].string.text تهی شده و دسترسی به نشانیِ تهی باعث کرش می‌گردد.

for (ptr = attr->values[i].string.text; *ptr; ptr++)

بردار حمله در پیکربندی پیش‌فرض، شبکه مجاور (شبکه لوکال) است. مهاجم در همان زیرشبکه می‌تواند بدون احراز هویت یا تعامل کاربر، بسته‌های پاسخ IPP دستکاری‌شده را به پورت پیش‌فرض 631 ارسال کند و باعث کرش سرویس‌های cups و cups-browsed شود. در صورتی که ضعف قبلی CVE-2024-47176 (در بسته‌های cups-filters / cups-browsed) روی هدف پچ نشده باشد و همچنین فایروال میزبان ترافیک ورودی به پورت IPP را مسدود نکند و دستگاه برای دسترسی از اینترنت عمومی پیکربندی شده باشد، بردار حمله می‌تواند فراتر از شبکه لوکال رفته و به‌صورت شبکه (Network) قابل بهره‌برداری شود. با این حال، در پیکربندی پیش‌فرض پروژه‌های CUPS و cups-browsed، بردار اصلی همچنان مجاور باقی می‌ماند.

بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم با اسکریپت‌های پایتون یا ابزارهای خودکار می‌تواند پاسخ‌های IPP دستکاری‌شده را در شبکه مجاور ارسال کرده و به‌سرعت موجب کرش cups-browsed در تمامی میزبان‌هایی شود که به‌طور پیش‌فرض در شبکه لوکال به اعلان‌ها یا جستجوی چاپگر پاسخ می‌دهند. این عملکرد می‌تواند منجر به یک حمله گسترده انکار سرویس (DoS) علیه سرویس‌های چاپ در کل زیرشبکه شود.

نمونه‌های اثبات مفهومی (PoC) عمومی در گیت‌هاب منتشر شده‌اند که شامل یک PoC شبکه‌ای (با دو ماشین در یک شبکه ، اجرای printer.py برای کرش cups-browsed) و یک PoC لوکال قابل کامپایل برای دیباگ است. این PoC روی نسخه‌های cups 2.4.7 و 2.4.12 بازتولید و آزمایش شده است.

پیامد اصلی این آسیب‌پذیری تأثیرِ بسیار بالا بر دسترس‌پذیری با کرش گسترده سرویس‌های چاپ در کل شبکه لوکال و اختلال در عملیات چاپ است. این ضعف تمام توزیع‌های لینوکس که CUPS را با پیکربندی پیش‌فرض اجرا می‌کنند (مانند Ubuntu و Debian) را در معرض ریسک قرار می‌دهد.

پچ در کامیت e58cba9 اعمال شده و در نسخه 2.4.13 منتشر شده است. Debian پچ رسمی را به بسته (2.3.3op2-3+deb11u10) خود اضافه کرده تا با به روزرسانی کاربران، آسیب‌پذیری رفع شود.

CVSS

Score Severity Version Vector String
6.5 MEDIUM 3.1 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at < 2.4.13 cups

لیست محصولات بروز شده

Versions Product
v2.4.14

v2.4.13

 cups

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که OpenPrinting CUPSرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
1,230 site:.ir “OpenPrinting” “CUPS” OpenPrinting CUPS

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در سیستم چاپ CUPS، امکان انکار سرویس از راه دور از طریق شبکه مجاور را فراهم می کند و می‌تواند منجر به کرش گسترده سرویس‌های چاپ در لینوکس شود. با توجه به انتشار پچ رسمی و وجود PoC عمومی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام سیستم‌های CUPS را به نسخه 2.4.13 یا بالاتر به‌روزرسانی کنید. پچ در مخزن گیت هاب، کامیت e58cba9 از پروژه OpenPrinting و توزیع‌ها مانند Debian (نسخه 2.3. 3.3op2-3+deb11u10) در دسترس است. به‌روزرسانی، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات می توانند برای مقابله با این آسیب پذیری و یا موارد مشابه موثر باشد.
  • محدودسازی فایروال: ترافیک IPP (پورت 631) را با فایروال (مانند ufw یا firewalld) به شبکه لوکال محدود کنید و ورودی از اینترنت عمومی را مسدود نمایید؛ به‌ویژه اگر CVE-2024-47176 هنوز پچ نشده باشد.
  • غیرفعال‌سازی سرویس‌های غیرضروری: سرویس cups-browsed را در صورت عدم نیاز با دستورهای systemctl stop cups-browsed و systemctl disable cups-browsed غیرفعال کنید.
  • نظارت و ثبت لاگ: لاگ‌های CUPS (/var/log/cups/error_log) را با ابزارهایی مانند rsyslog یا ELK Stack مانیتور کنید و برای کرش‌های ناگهانی هشدار تنظیم کنید.
  • ایزوله‌سازی شبکه: CUPS را در شبکه های مجزا یا با فایروال اپلیکیشن وب (WAF) مانند ModSecurity قرار دهید تا درخواست‌های IPP مشکوک فیلتر شود.
  • تست امنیتی: سیستم‌ها را با PoC عمومی آزمایش کنید و از ابزارهایی مانند Nmap (اسکن پورت 631) یا IPPScan برای شناسایی آسیب‌پذیری بهره ببرید. همچنین از روش Fuzzing (تست تصادفی ورودی) برای ارزیابی مقاومت پردازشIPP استفاده نمایید.
  • آموزش تیم های امنیتی: ادمین های سیستم را درباره ریسک DoS در پروتکل‌های چاپ و اهمیت به روزرسانی فوری آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی شبکه، ریسک بهره‌برداری از این آسیب‌پذیری را کاهش داده و امنیت سرویس‌های چاپ در شبکه‌های لینوکس را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم از شبکه مجاور (adjacent network) یا شبکه محلی با اسکن و ارسال پاسخ‌های IPP دستکاری‌شده به پورت 631 بهره می‌برد؛ در عمل مرحله ورود شامل شناسایی میزبان‌های دارای سرویس و ارسال بسته‌های مخرب IPP برای القای وضعیت ناپایدار در parser است

Defense Evasion (TA0005)
برای پنهان‌سازی، مهاجم می‌تواند بسته‌های IPP را طوری قالب‌بندی کند که از قواعد ساده IDS/IPS عبور کند یا از نرخ‌ پایین ارسال برای اجتناب از آلارم استفاده کند؛ همچنین استفاده از آدرس‌های محلی/مجاز برای پرهیز از بلاک فایروال محتمل است

Impact (TA0040)
پیامد مستقیم فنی کرش daemonهای cups/cups-browsed و از دسترس خارج شدن سرویس چاپ در کل زیرشبکه است که در مقیاس می‌تواند موجب اختلال عملیات چاپ و اختلال خدمات وابسته شود؛ اثر در درجه اول Availability است (DoS) و می‌تواند بر فرآیندهای کسب‌وکاری وابسته به چاپ تأثیر بگذارد

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-58364
  2. https://www.cvedetails.com/cve/CVE-2025-58364/
  3. https://github.com/OpenPrinting/cups/security/advisories/GHSA-7qx3-r744-6qv4
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58364
  5. https://vuldb.com/?id.323710
  6. https://github.com/OpenPrinting/cups/commit/e58cba9d6fceed4242980e51dbd1302cf638ab1d
  7. https://lists.debian.org/debian-lts-announce/2025/09/msg00013.html
  8. http://www.openwall.com/lists/oss-security/2025/09/11/2
  9. https://nvd.nist.gov/vuln/detail/CVE-2025-58364
  10. https://cwe.mitre.org/data/definitions/20.html
  11. https://cwe.mitre.org/data/definitions/476.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.