خانه » CVE-2025-59334
هشدار‌های سایبری

CVE-2025-59334

Linkr Allows Manifest Tampering Leading To Arbitrary File Injection

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 21 بازدید
هشدار سایبری CVE-2025-59334
  • شناسه CVE-2025-59334 :CVE
  • CWE-347 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 16, 2025
  • به روز شده: سپتامبر 16, 2025
  • امتیاز: 9.7
  • نوع حمله: Unknown
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: ابزارهای مدیریت فایل و فشرده‌سازی
  • برند: mohammadzain2008
  • محصول: Linkr
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در Linkr نسخه‌های پیش از 2.0.1، ناشی از عدم بررسی یکپارچگی یا اصالت فایل‌های manifest .linkr است که امکان دستکاری manifest را فراهم می‌کند. این ضعف به مهاجمان اجازه می‌دهد ورودی‌های فایل دلخواه را به پکیج های توزیع شده اضافه کرده و منجر به دانلود فایل‌های مخرب بدون تأیید شود.

توضیحات

آسیب‌پذیری CVE-2025-59334 در Linkr، یک سیستم سبک توزیع فایل که فایل‌ها را از وب‌سرور دانلود می‌کند، ناشی از عدم بررسی یکپارچگی و اصالت فایل‌های manifest (.linkr) (فایل مشخصات بسته) قبل از استفاده از محتویات آن‌ها است و مطابق با CWE-347 طبقه‌بندی می‌شود. این ضعف در نسخه‌های پیش از 2.0.1 وجود دارد و به مهاجم اجازه می‌دهد تا manifest ایجادشده، مانند افزودن ورودی جدید با URL مخرب، را دستکاری کند و هنگام اجرای دستور استخراج (extract) توسط کاربر، فایل‌های ارائه‌شده توسط مهاجم بدون بررسی اعتبار دانلود شوند.

مسیر بهره‌برداری شامل ایجاد manifest با دستور فشرده سازی (compress)، ویرایش دستی آن برای افزودن ورودی مخرب و اجرای extract با manifest دستکاری‌شده است. این حمله از طریق شبکه با پیچیدگی پایین و بدون نیاز به احراز هویت ، اما با نیاز به تعامل کاربر، مانند اجرای دستور extract، قابل بهره‌برداری است.

این ضعف می‌تواند منجر به نقض شدید محرمانگی با دانلود و دسترسی به داده‌های حساس، یکپارچگی با تزریق فایل‌های مخرب و در دسترس‌پذیری با ایجاد اختلال یا اجرای کد مخرب شود. در صورت اجرای فایل‌های دانلودشده، مانند باینری یا اسکریپت مخرب، این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (RCE) شده و اعتماد به مدل توزیع Linkr را به شدت تضعیف کند.

مراحل تولید مجدد شامل ایجاد manifest، ویرایش آن برای افزودن ورودی مخرب و اجرای دستور extract است که فایل مخرب را بدون خطا دانلود می‌کند. توسعه‌دهندگان Linkr این ضعف را در نسخه 2.0.1 با commit 182e5ddaa51972e144005b500c4bcebf2fd1a6c0 پچ کرده‌اند. اصلاحات اعمال‌شده شامل افزودن فیلد LINKR_ADDRESS به manifest برای اعتبارسنجی یکپارچگی، به‌روزرسانی compressor برای درج آدرس سرورها در manifest و به‌روزرسانی extractor برای خواندن LINKR_ADDRESS، محاسبه checksum SHA-256 و مقایسه با نسخه‌های موجود در سرورهای از راه دور است.

 CVSS

Score Severity Version Vector String
9.7 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at < 2.0.1 Linkr

لیست محصولات بروز شده

Versions Product
2.0.1 Linkr

 نتیجه گیری

این آسیب‌پذیری در Linkr با توجه به شدت بحرانی و امکان تزریق فایل دلخواه از طریق دستکاری manifest، تهدیدی جدی برای امنیت توزیع فایل‌ها ایجاد می‌کند که می‌تواند منجر به دانلود و اجرای کد مخرب (RCE) شود. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی فوری: نرم افزار Linkr را به نسخه 2.0.1 یا بالاتر به‌روزرسانی کنید تا بررسی یکپارچگی manifest با checksum SHA-256 و فیلد LINKR_ADDRESS اعمال شود.
  • استفاده از manifestهای قابل اعتماد: فقط از فایل‌های .linkr از منابع معتبر استفاده کنید و از دانلود فایل‌ها از منابع ناشناس خودداری کنید.
  • تأیید دستی یکپارچگی: قبل از اجرای extract، صحت manifest را بررسی کرده و checksum آن را با نسخه اصلی مقایسه نمایید.
  • میزبانی امن : manifest فایل های manifest را فقط روی سرورهای قابل اعتماد میزبانی کنید تا از دستکاری جلوگیری شود.
  • نظارت بر دانلودها: دانلودهای فایل را نظارت کنید و از ابزارهای امنیتی مانند آنتی‌ویروس برای اسکن فایل‌های دانلودشده استفاده نمایید.
  • اجتناب از اجرای فایل‌های ناشناخته: فایل‌های دانلودشده را قبل از اجرا بررسی کنید تا ریسک RCE کاهش یابد.
  • آموزش کاربران: کاربران را در مورد ریسک manifestهای دستکاری‌شده و اهمیت به‌روزرسانی نرم‌افزار آگاه کنید.

اجرای این اقدامات، ریسک تزریق فایل مخرب و اجرای کد از راه دور را به حداقل رسانده و امنیت Linkr را در توزیع فایل‌ها تقویت می‌کند. این آسیب‌پذیری بر اهمیت اعتبارسنجی یکپارچگی و اصالت manifestها در سیستم‌های توزیع فایل تأکید دارد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با انتشار یا ارسال یک manifest‌ دستکاری‌شده (.linkr) در یک بسته یا مخزن قابل‌دسترسی شبکه‌ای نقطه ورود فراهم می‌کند؛ کاربر یا سیستم هدف با دانلود یا اجرای بسته مبتلای به این manifest حمله را فعال می‌کند

Execution (TA0002)
وقتی کاربر یا پروسه هدف دستور استخراج یا اجرای محتویات بسته را اجرا می‌کند، فایل‌های درج‌شده توسط مهاجم میتواند دانلود و (در صورت اجرا شدن) در محیط هدف اجرا می‌گردد یعنی مهاجم ممکن است اجرای کد دلخواه را در کانتکست کاربر یا سرویس هدف رقم بزند.

Persistence (TA0003)
مهاجم می‌تواند فایل‌های مخرب را طوری تزریق کند که پس از extract و reboot یا ری‌استارت سرویس ماندگار بمانند (binaries, scheduled tasks, startup scripts)، و بدین‌ ترتیب دسترسی طولانی‌مدت ایجاد کند.

Privilege Escalation (TA0004)
اگر فرآیندی که فایل‌ها را اجرا/استخراج می‌کند دارای امتیازات بالاتر باشد (service account یا root) اجرای فایل مخرب می‌تواند منجر به افزایش دسترسی مهاجم به سطح سیستم یا سرویس‌های حساس شود.

Defense Evasion (TA0005)
فایل‌های مخرب می‌توانند نام‌ها/مکان‌های مشروع را تقلید کنند، checksums یا متادیتای جعلی در manifest قرار دهند، یا payloadها را فشرده/obfuscate کنند تا اسکن‌های ساده AV/WAF و بررسی فهرست‌ها را دور بزنند.

Credential Access (TA0006)
با اجرای payload روی میزبان، مهاجم ممکن است ابزارهایی برای استخراج credentialها یا توکن‌های محلی config files، cached tokens نصب یا اجرا کند که دسترسی به سرویس‌های دیگر را تسهیل کند.

Discovery (TA0007)
پس از اجرای اولیه، مهاجم می‌تواند اسکریپت‌های reconnaissance اجرا کند تا فهرست فایل‌ها، سرویس‌ها، و کانال‌های ارتباطی را روی میزبان شناسایی کند تا اهداف بعدی را تعیین کند.

Lateral Movement (TA0008)
با استفاده از فایل‌های تزریق‌شده و credential های به‌دست‌آمده، مهاجم می‌تواند به سرورهای دیگر یا سرویس‌های مرتبط مهاجرت کند

Collection (TA0009)
مهاجم می‌تواند داده‌های حساس محلی را جمع‌آوری کند (پیکربندی‌ها، کلیدها، لاگ‌ها) و آنها را برای استخراج آماده کند

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده یا فایل‌های حساس می‌توانند از طریق کانال‌های شبکه‌ای استاندارد یا پنهان‌شده به زیرساخت مهاجم منتقل شوند؛ همچنین خود payload ممکن است با سرور مهاجم تماس برقرار کند تا داده‌ها را ارسال کند.

Command and Control (TA0011)
در سناریوهای پیشرفته، payload تزریق‌شده ممکن است یک کانال C2 راه‌اندازی کند تا مهاجم بتواند دستورات تعاملی ارسال کند و عملیات بعدی را از راه دور هدایت کند.

Impact (TA0040)
اثرات گزارش‌شده شامل اجرای کد از راه دور (RCE)، نقض محرمانگی و یکپارچگی فایل‌ها، و اختلال یا نابودی سرویس‌ها است — در این مورد شدت بالا (Critical) گزارش شده و پیامدها می‌تواند سازمانی و گسترده باشد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-59334
  2. https://www.cvedetails.com/cve/CVE-2025-59334/
  3. https://github.com/mohammadzain2008/Linkr/security/advisories/GHSA-6wph-mpv2-29xv
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59334
  5. https://vuldb.com/?id.324552
  6. https://github.com/mohammadzain2008/Linkr/commit/182e5ddaa51972e144005b500c4bcebf2fd1a6c0
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-59334
  8. https://cwe.mitre.org/data/definitions/347.html

همچنین ممکن است دوست داشته باشید

CVE-2025-7493

CVE-2025-55476

CVE-2025-10779

CVE-2025-10953

CVE-2025-10964

CVE-2025-10975

CVE-2025-10911

CVE-2025-10994

CVE-2025-10540

CVE-2025-10137

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×