- شناسه CVE-2025-59328 :CVE
- CWE-502 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 15, 2025
- به روز شده: سپتامبر 15, 2025
- امتیاز: 6.5
- نوع حمله: Denial of Service
- اثر گذاری: Unknown
- حوزه: وبسرورها
- برند: Apache Software Foundation
- محصول: Apache Fory
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در کتابخانه Apache Fory نسخههای 0.5.0 تا 0.12.1 ناشی از deserialization ناامن دادههای غیرقابل اعتماد است که امکان حمله انکار سرویس (DoS) را برای مهاجمان از راه دور فراهم میکند. در این حملات مهاجم با ارسال پیلودهای بزرگ و دستکاریشده، باعث مصرف بیش از حد منابع CPU شده و در نتیجه سیستم برای کاربران قانونی غیرقابل دسترس می گردد.
توضیحات
آسیبپذیری CVE-2025-59328 در Apache Fory، یک کتابخانه برای پردازش دادهها، ناشی از deserialization ناامن دادههای غیرقابل اعتماد است که مطابق باCWE-502 طبقهبندی میشود. این ضعف در نسخههای 0.5.0 تا 0.12.1 وجود دارد و به مهاجمان اجازه میدهد با ارسال پیلودهای بزرگ و دستکاریشده به سیستم، فرآیند deserialization را به گونهای تحت تاثیر قرار دهند که منابع CPU را به شدت مصرف کند.
این آسیبپذیری از طریق شبکه با پیچیدگی پایین قابل بهره برداری است. حمله نیازمند سطح دسترسی پایین بوده و نیازی به تعامل کاربر ندارد. پیامد اصلی آن نقض در دسترس پذیری است، زیرا منجر به اتمام منابع CPU یاCPU exhaustion و غیرفعال شدن برنامه یا سیستم میزبان میشود.
Apache Software Foundation این ضعف را در نسخه 0.12.2 با بهبود مکانیزم deserialization و محدود کردن مصرف منابع پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0.5.0 through 0.12.1 | Apache Fory |
لیست محصولات بروز شده
| Versions | Product |
| 0.12.2 or later | Apache Fory |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Apache Software Foundation را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 3,970 | Apache Software Foundation |
نتیجه گیری
این آسیبپذیری در Apache Fory، اگرچه شدت متوسطی دارد اما به دلیل امکان ایجاد انکار سرویس (DoS) از طریق مصرف بیش از حد CPU، تهدیدی قابل توجه برای برنامههای وابسته به این کتابخانه ایجاد میکند. بنابراین برای کاهش ریسک و جلوگیری از بهرهبرداری، اقدامات زیر توصیه میشود:
- بهروزرسانی فوری: کتابخانه Apache Fory را به نسخه 0.12.2 یا بالاتر بهروزرسانی کنید تا اصلاحات امنیتی deserialization اعمال شود.
- محدودسازی دسترسی: دسترسی به APIها یا اندپوینت هایی که از Apache Fory استفاده میکنند را محدود کرده و از احراز هویت قوی برای کاهش ریسک دسترسی غیرمجاز بهره ببرید.
- نظارت بر منابع: منابع CPU سرور را نظارت کنید تا فعالیتهای غیرعادی مرتبط با مصرف بیش از حد منابع شناسایی شود.
- استفاده از WAF یا IDS: از فایروال اپلیکیشن وب (WAF) یا سیستمهای تشخیص نفوذ (IDS) برای فیلتر کردن پیلودهای غیرعادی یا بزرگ استفاده کنید.
- مدیریت امن دادهها: ورودیهای کاربر را قبل از deserialization اعتبارسنجی و محدود کنید تا از پردازش دادههای مخرب جلوگیری شود.
- آموزش توسعهدهندگان: تیمهای توسعه را در مورد ریسک deserialization ناامن و اهمیت بهروزرسانی منظم وابستگیها آگاه کنید.
اجرای این اقدامات، ریسک حملات DoS را به حداقل رسانده و در دسترسپذیری برنامههای وابسته به Apache Fory را تضمین میکند. این آسیبپذیری بر اهمیت مدیریت امن deserialization و نظارت بر منابع در کتابخانههای پردازش داده تأکید دارد.
امکان استفاده در Mitre Attack
Defense Evasion (TA0005)
اجرای این حمله می تواند بدون درگیر کردن روش های معمول برای مقابله با حملات DOS صورت گیرد
Impact (TA0040)
سرویس با اجرای این حمله میتواند از دسترس برای کاربران قانونی خارج شود
منابع
