- شناسه CVE-2025-58437 :CVE
- CWE-613, CWE-279, CWE-277 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 6, 2025
- به روز شده: سپتامبر 6, 2025
- امتیاز: 8.1
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: Coder
- محصول: coder
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری ناشی از مدیریت ناامن نشست و تخصیص نادرست مجوزها در محیطهای کاری prebuilt نرمافزار Coder نسخههای 2.22.0 تا 2.24.3 و 2.25.0 تا 2.25.1 شناسایی شده است. این ضعف به مهاجمان احراز هویتشده اجازه میدهد سطح دسترسی خود را افزایش داده و به محیطهای کاری دیگر نفوذ کنند.
توضیحات
آسیبپذیری CVE-2025-58437 در نرمافزار Coder، پلتفرمی برای ایجاد محیطهای توسعه از راه دور با استفاده از Terraform، ناشی از مدیریت ناامن توکنهای نشست (مطابق با CWE-613) و تخصیص نادرست مجوزها (مطابق با CWE-279 و CWE-277) در محیط های کاری prebuilt است. این ضعف در نسخههای 2.22.0 تا 2.24.3 و 2.25.0 تا 2.25.1 وجود دارد و به مهاجمان احراز هویتشده با دسترسی محدود اجازه می دهد با سوءاستفاده از توکنهای نشست منقضینشده، به محیط های کاری دیگر دسترسی یافته یا کد دلخواه خود را اجرا کنند.
در جریان عملکرد Coder، هنگام راهاندازی هر محیط کاری، یک توکن نشست بهطور خودکار برای کاربر ایجاد شده و از طریق متغیر coder_workspace_owner.session_token در دسترس قرار میگیرد. در محیط های کاری prebuilds ، این توکن ابتدا به کاربر سیستمی prebuilds اختصاص می یابد، اما پس از ادعای محیط کاری توسط یک کاربر جدید، توکن قبلی منقضی نمیشود. این ضعف به مهاجمان اجازه می دهد با استفاده از این توکن قدیمی بهعنوان کاربر prebuilds عمل کرده و دسترسی غیرمجاز پیدا کنند.
این آسیب پذیری به ویژه در تمپلیت های محیط کاری که توکن نشست را ذخیره میکنند، مانند ماژول coder-login، تاثیر گذار است؛ زیرا این ماژول توکن کاربر prebuilds را روی دیسک ذخیره کرده و پس از ادعای محیط کاری توسط کاربر جدید، آن را بهروزرسانی نمیکند. در نتیجه، مهاجم میتواند به محیط های کاری دیگر متعلق به کاربر prebuilds دسترسی پیدا کرده، کد مخرب اجرا کند و اطلاعات سایر کاربران را استخراج یا دستکاری نماید.
شدت این آسیبپذیری بالا ارزیابی شده است، چرا که تنها نیازمند دسترسی اولیه یک کاربر احراز هویتشده بوده، نیازی به تعامل پیچیده ندارد و از طریق شبکه قابل بهرهبرداری است.
توسعهدهندگان Coder این آسیبپذیری را در نسخههای جدید با اعمال انقضای مناسب توکنهای نشست و اصلاح مدیریت مجوزها برطرف کردهاند که این امر مانع سوءاستفاده از توکنهای قدیمی و افزایش امنیت محیط های کاری prebuilds میشود.
CVSS
| Score | Severity | Version | Vector String |
| 8.1 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at >= 2.22.0, < 2.24.4
affected at >= 2.25.0, < 2.25.2 |
coder |
لیست محصولات بروز شده
| Versions | Product |
| 2.24.4, 2.25.2, 2.26.0 | coder |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Coder را به همراه Terraform ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 138 | Coder/Terraform |
نتیجه گیری
با توجه به ماهیت آسیبپذیری ناشی از مدیریت ناامن نشست و تخصیص نادرست مجوزها در محیطهای کاری prebuilt نرمافزار Coder، اقدامات زیر برای کاهش ریسک و جلوگیری از بهرهبرداری توصیه میشود:
- بهروزرسانی فوری نرمافزار: نصب نسخههای جدید Coder که شامل اصلاح کامل مدیریت نشست و مجوزها است.
- بازیابی و جایگزینی توکنهای نشست قدیمی: تمام توکنهای نشست ایجاد شده قبل از اعمال پچ در محیطهای کاری prebuilt باید لغو یا بازیابی شوند تا از امکان استفاده غیرمجاز آنها جلوگیری شود.
- بررسی و محدودسازی مجوزها: بررسی دقیق مجوزهای کاربران و اطمینان از اینکه دسترسی کاربران به محیطهای کاری prebuilt محدود و مطابق اصل حداقل دسترسی (Least Privilege) باشد.
- نظارت و لاگگیری مداوم: بررسی لاگهای نشست و فعالیت کاربران برای شناسایی تلاشهای احتمالی سوءاستفاده یا دسترسی غیرمجاز به محیطهای کاری.
- ایزولهسازی محیطهای کاری حساس: اجرای محیطهای کاری prebuilt در کانتینرها یا محیطهای مجازی ایزوله، بهویژه در سازمانهای بزرگ، تا در صورت بهرهبرداری از ضعف، اثرات آن محدود شود.
با اجرای این اقدامات، ریسک افزایش دسترسی و نفوذ از طریق ضعف مدیریت نشست به حداقل رسیده و امنیت محیطهای کاری Coder تضمین میشود، ضمن اینکه امکان سوءاستفاده مهاجمان از توکنهای منقضینشده یا مجوزهای نادرست به صورت چشمگیری کاهش پیدا میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
T1078 – Valid Accounts
مهاجم با استفاده از یک حساب کاربری احراز هویتشده در محیط Coder، دسترسی اولیه به محیطهای کاری prebuilt پیدا میکند.
Execution (TA0002)
T1059 – Command and Scripting Interpreter
پس از دستیابی به محیط کاری هدف، مهاجم میتواند کد دلخواه خود را اجرا کند، مثلاً با اجرای اسکریپتهای محلی یا دستورات Terraform در محیط prebuilt
Credential Access (TA0006)
T1550 – Use of Application Access Tokens
با استفاده از توکن نشست منقضینشده یا ذخیرهشده در ماژولهای prebuild، مهاجم میتواند به منابع یا محیطهای کاری دیگر دسترسی پیدا کند.
Impact (TA0040)
T1496 – Resource Hijacking
اجرای کد دلخواه و دسترسی غیرمجاز به محیطهای کاری باعث تغییر یا سوءاستفاده از منابع کاربران دیگر و اختلال در محیطهای توسعه میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-58437
- https://www.cvedetails.com/cve/CVE-2025-58437/
- https://github.com/coder/coder/security/advisories/GHSA-j6xf-jwrj-v5qp
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58437
- https://vuldb.com/?id.322967
- https://github.com/coder/coder/pull/19667
- https://github.com/coder/coder/pull/19668
- https://github.com/coder/coder/pull/19669
- https://github.com/coder/coder/commit/06cbb2890f453cd522bb2158a6549afa3419c276
- https://github.com/coder/coder/commit/20d67d7d7191a4fd5d36a61c6fc1e23ab59befc0
- https://github.com/coder/coder/commit/ec660907faa0b0eae20fa2ba58ce1733f5f4b35a
- https://nvd.nist.gov/vuln/detail/CVE-2025-58437
- https://cwe.mitre.org/data/definitions/613.html
- https://cwe.mitre.org/data/definitions/279.html
- https://cwe.mitre.org/data/definitions/277.html
