خانه » CVE-2025-58374
هشدار‌های سایبری

CVE-2025-58374

Roo Code: Auto-Approve Allows Npm Install Execution Of Malicious Postinstall Scripts

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 8 بازدید
هشدار سایبری CVE-2025-58374
  • شناسه CVE-2025-58374 :CVE
  • CWE-78 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 6, 2025
  • به روز شده: سپتامبر 6, 2025
  • امتیاز: 7.8
  • نوع حمله: Unknown
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: نرم افزارهای کاربردی
  • برند: RooCodeInc
  • محصول: Roo-Code
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در افزونه Roo Code نسخه‌های 3.25.23 و پایین‌تر شناسایی شده است که به دلیل تنظیم پیش‌فرض قابلیت auto-approve، امکان اجرای خودکار اسکریپت‌های مخرب postinstall در هنگام اجرای npm install را فراهم می‌کند. این ضعف امنیتی می‌تواند با باز کردن یک مخزن مخرب، منجر به اجرای کد دلخواه شود.

توضیحات

آسیب‌پذیری CVE-2025-58374 در افزونه Roo Code، یک ایجنت خودکار کدگذاری مبتنی بر هوش مصنوعی که در ویرایشگرهای کد کاربران اجرا می‌شود، ناشی از ضعف در مدیریت دستورات مجاز برای اجرای خودکار auto-approve مطابق با CWE-78 یا به عبارتی تزریق فرمان سیستم عامل است.

این آسیب پذیری در نسخه‌های 3.25.23 و پایین‌تر وجود دارد و به دلیل گنجاندن دستور npm install (مدیر پکیج و ریجستری پیش فرض اکوسیستم Node.js) در لیست پیش‌فرض دستورات مجاز برای auto-approve رخ می‌دهد.

از آنجا که npm install اسکریپت‌های lifecycle مانند postinstall را اجرا می‌کند، اگر فایل package.json یک مخزن شامل اسکریپت postinstall مخرب باشد، این اسکریپت به‌صورت خودکار و بدون تأیید کاربر اجرا می‌شود. این امر به مهاجمان اجازه می‌دهد با فریب کاربر برای باز کردن یک مخزن مخرب در محیطی که قابلیت auto-approve فعال است، کد دلخواه را روی سیستم توسعه‌دهنده اجرا کنند که می‌تواند منجر به نقض کامل محرمانگی، یکپارچگی و دسترس‌پذیری شود.

این آسیب‌پذیری، با شدت بالا ارزیابی می شود؛ چرا که نیازی به دسترسی بالا ندارد اما نیازمند تعامل کاربر (باز کردن مخزن مخرب) است.

توسعه‌دهندگان Roo Code این آسیب پذیری را در نسخه 3.26.0 ، با حذف دستورات پرریسک مانند npm install از لیست پیش‌فرض auto-approve و به‌روزرسانی تنظیمات کاربران در هنگام ارتقاء افزونه پچ کرده‌اند.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at < 3.26.0 Roo-Code

لیست محصولات بروز شده

Versions Product
03.26.0 Roo-Code

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Roo-Code را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق یا استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
135 Roo-Code

 نتیجه گیری

این آسیب‌پذیری نشان می‌دهد که اجرای خودکار دستورات حساس (auto-approve) بدون نظارت می‌تواند به یک تهدید جدی تبدیل شود. بنابراین برای کاهش این ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی فوری: به روزرسانی Roo Code به نسخه 3.26.0 یا بالاتر که این ضعف را پچ کرده است.
  • بازبینی تنظیمات auto-approve: حذف دستورات پرریسک از لیست مجاز و محدود کردن آن صرفاً به دستورات ایمن و ضروری.
  • ایزوله‌سازی محیط توسعه: استفاده از کانتینرها یا ماشین‌های مجازی جهت کاهش تأثیر احتمالی اجرای کد مخرب روی سیستم اصلی.
  • بررسی و نظارت بر پکیج ها: اعتبارسنجی مخازن و فایل‌های json قبل از باز کردن آن‌ها در محیط توسعه.
  • پیاده‌سازی اصل حداقل اعتماد (Zero Trust): حتی در ابزارهای توسعه، فرض بر عدم اعتماد به ورودی‌ها یا مخازن ناشناخته باشد و مجوز اجرای خودکار محدود گردد.

با اجرای این تدابیر، ریسک اجرای کد مخرب در محیط توسعه به حداقل رسیده و امنیت سیستم توسعه‌دهندگان تضمین خواهد شد.

امکان استفاده در تاکتیک های Mitre Attack

  • Initial Access (TA0001)
    T1189 – Drive-by Compromise
    مهاجم با فریب کاربر برای باز کردن یک مخزن آلوده (repository) در محیط توسعه که قابلیت auto- approve فعال است، به سیستم دسترسی اولیه پیدا می‌کند.
  • Execution (TA0002)
    T1059 – Command and Scripting Interpreter
    اجرای خودکار دستور npm install در لیست auto-approve منجر به اجرای اسکریپت مخرب postinstall و اجرای کد دلخواه مهاجم روی سیستم قربانی می‌شود.
  • Persistence (TA0003)
    T1547 – Boot or Logon Autostart Execution
    اسکریپت‌های postinstall مخرب می‌توانند کدهایی برای ایجاد ماندگاری (مانند افزودن استارتاپ اسکریپت‌ها یا سرویس‌های جدید) روی سیستم توسعه‌دهنده قرار دهند.
  • Privilege Escalation (TA0004)
    T1068 – Exploitation for Privilege Escalation
    اسکریپت مخرب می‌تواند از طریق آسیب‌پذیری‌های محلی یا دسترسی‌های توسعه‌دهنده، سطح دسترسی خود را افزایش دهد.
  • Defense Evasion (TA0005)
    T1562 – Impair Defenses
    کدهای مخرب می‌توانند تنظیمات امنیتی سیستم توسعه‌دهنده آنتی‌ویروس،endpoint protection  را غیرفعال یا دور بزنند.
  • Impact (TA0040)
    T1486 – Data Encrypted for Impact
    T1490 – Inhibit System Recovery
    اجرای کد دلخواه در نهایت می‌تواند به رمزگذاری داده‌ها، تخریب فایل‌ها یا ایجاد اختلال کامل در محیط توسعه منجر شود

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-58374
  2. https://www.cvedetails.com/cve/CVE-2025-58374/
  3. https://github.com/RooCodeInc/Roo-Code/security/advisories/GHSA-c292-qxq4-4p2v
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58374
  5. https://vuldb.com/?id.322968
  6. https://github.com/RooCodeInc/Roo-Code/pull/7390/files
  7. https://github.com/RooCodeInc/Roo-Code/releases/tag/v3.26.0
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-58374
  9. https://cwe.mitre.org/data/definitions/78.html

همچنین ممکن است دوست داشته باشید

CVE-2025-58437

CVE-2025-7040

CVE-2025-9864

CVE-2025-9817

CVE-2025-53149

CVE-2025-9515

CVE-2025-8359

CVE-2025-9935

CVE-2025-50154

CVE-2025-9074

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.