CVE-2025-8037

چکیده

آسیب‌پذیری در مدیریت کوکی‌های Firefox و Thunderbird باعث می‌شود یک کوکی بی‌نام (nameless cookie) که مقدار آن حاوی علامت مساوی (=) است، حتی اگر از طریق HTTP ساده تنظیم شده باشد، بتواند کوکی‌های معتبر و امن دارای ویژگی Secure را تحت‌الشعاع قرار دهد (shadow) و عملاً جایگزین آن‌ها شود. این ضعف باعث بروز عملکرد نادرست در اولویت‌بندی و پردازش کوکی‌ها شده و در برخی سناریوها می‌تواند زمینه‌ساز تداخل در اعتبارسنجی یا ارسال نادرست کوکی‌ها شود.

توضیحات

آسیب‌پذیری CVE‑2025‑8037 ناشی از ضعفی در مدیریت کوکی‌های حساس مطابق با CWE‑614 در نشست‌های HTTPS است. در این ضعف، مرورگرهای Firefox و Thunderbird به‌طور نادرست کوکی‌ها را پردازش می‌کنند. به‌طور خاص، یک کوکی بی‌نام (nameless cookie) که تنها یک مقدار دارد، می‌تواند کوکی‌های معتبر و ایمن دارای ویژگی Secure را تحت‌الشعاع (shadow) قرار دهد یا جایگزین آن‌ها شود.

این ضعف زمانی ایجاد می‌شود که مقدار کوکی بی‌نام شامل علامت مساوی (=) باشد، زیرا این ساختار باعث تداخل در نحوه تفسیر و اولویت‌بندی کوکی‌ها توسط مرورگر می‌شود. نکته مهم این است که حتی اگر کوکی بی‌نام از طریق HTTP معمولی (کانال غیرامن) تنظیم شده باشد، باز هم می‌تواند کوکی‌هایی که ویژگی Secure دارند را تحت تأثیر قرار دهد. ویژگی Secure تضمین می‌کند که کوکی فقط از طریق HTTPS (کانال امن رمزنگاری‌شده) ارسال شود اما در این ضعف، مرورگر به‌اشتباه کوکی بی‌نام را اولویت می‌دهد.

نتیجه این عملکرد، اختلال در اولویت‌بندی، خواندن و ارسال کوکی‌ها است. در نتیجه، توکن‌های نشست (session tokens) یا مقادیر اعتبارسنجی ممکن است به‌درستی ارسال نشوند یا توسط کوکی بی‌نام shadow شوند. هرچند این آسیب پذیری به‌طور مستقیم موجب سرقت نشست یا حملات جدی نمی‌شود اما می‌تواند روی منطق احراز هویت، حفظ وضعیت کاربر و پردازش درخواست‌ها اثر گذاشته و عملکرد غیرمنتظره یا ناخواسته ایجاد کند. پیامد این آسیب‌پذیری، تاثیر بالا بر محرمانگی و یکپارچگی اطلاعات است. این ضعف در نسخه‌های جدید Firefox و Thunderbird پچ شده است و توصیه می‌شود کاربران هرچه سریع‌تر مرورگرهای خود را به‌روزرسانی کنند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Firefox و Thunderbird را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری بحرانی در پردازش کوکی‌ها باعث می‌شود یک کوکی بی‌نام (nameless cookie) کوکی‌های امن را تحت‌الشعاع قرار دهد و در نتیجه اولویت‌بندی، خواندن و ارسال کوکی‌ها دچار اختلال شده و عملکرد احراز هویت و اجرای سیاست‌های امنیتی مرورگر را تحت تأثیر قرار دهد. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از سوءاستفاده و کاهش ریسک این آسیب‌پذیری توصیه می‌شود:

• به‌روزرسانی فوری مرورگر: Firefox و Thunderbird را به آخرین نسخه پایدار ارتقا دهید و به‌روزرسانی خودکار (Automatic Updates) را فعال کنید. این اقدام مؤثرترین و قطعی‌ترین روش برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک این ضعف و مقابله با حملات مشابه کمک می‌کنند.
• کنترل و محدودسازی کوکی‌های بی‌نام (Control Nameless Cookies): در محیط‌های حساس، می‌توان از طریق تنظیمات مرورگر یا سیاست‌های سرور، پذیرش کوکی‌های بی‌نام یا کوکی‌های تنظیم‌شده از طریق HTTP را محدود یا مسدود کرد تا از shadow کوکی‌های امن جلوگیری شود.
• اعمال سیاست‌های سازمانی و مدیریت مرکزی: سازمان ها باید اطمینان حاصل کنند که همه کاربران از نسخه‌های امن مرورگر استفاده می‌کنند و محدودیت‌های کوکی استاندارد اعمال شده است.
• محدودسازی افزونه‌ها و سایت‌های ناشناس: افزونه‌های غیرضروری را حذف کرده و سیاست‌های امنیتی محتوا (CSP) برای محدودسازی دریافت یا تنظیم کوکی‌ها اجرا شود.
• مانیتورینگ و تشخیص عملکرد غیرعادی: از سیستم‌های EDR/XDR برای شناسایی فرآیندهای exe و thunderbird.exe استفاده کرده و هشدار برای فعالیت‌های غیرعادی مانند تغییرات غیرمنتظره کوکی‌ها یا دسترسی مشکوک تنظیم شود.

اجرای این اقدامات، به ویژه به‌روزرسانی مرورگر، محدودسازی کوکی‌ها و کنترل افزونه‌ها، ریسک ناشی از این آسیب پذیری را به حداقل رسانده و سطح امنیت سیستم و شبکه را به طور قابل توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

در این سناریو مهاجم نقطه ورودی مستقیم ندارد؛ اما اگر اپلیکیشن طرفِ مقابل ورودی HTTP را از بیرون کنترل کند، مهاجم می‌تواند کوکی بی‌نام را از کانال غیرامن تنظیم کند تا در نشست کاربر تحت HTTPS اثر بگذارد. این رفتار عملاً یک مسیر کمکی برای تاثیرگذاری روی منطق نشست ایجاد می‌کند؛ هرچند دسترسی اولیه واقعی ایجاد نمی‌کند.

Credential Access (TA0006)

Shadow شدن کوکی‌های Secure باعث می‌شود مرورگر توکن نشست و داده‌های احراز هویت را اشتباه ارسال کند. مهاجم مستقیماً اطلاعات احراز هویت و جلسات را نمی‌دزدد، اما می‌تواند با تحریف جریان احراز هویت، درخواست‌ها را به سمتی هدایت کند که افشای غیرمستقیم داده یا ضعف در اعتبارسنجی رخ دهد. اینجا مهاجم می‌خواهد استراتژیک توکن را «از کار بیندازد»، نه اینکه آن را بخواند.

Defense Evasion (TA0005)

کوکی بی‌نام که از HTTP تنظیم می‌شود، بدون داشتن ویژگی‌های امنیتی معمول، می‌تواند کوکی Secure را Override کند و باعث شود مکانیسم‌های session-hardening به‌درستی عمل نکنند. این یک مدل دورزدن منطقی است که سطوح حفاظتی مرورگر را فریب می‌دهد، بدون اینکه رفتار مخرب واضح ثبت شود.

Impact (TA0040)

تأثیر این ضعف بیشتر روی یکپارچگی نشست و محرمانگی جریان احراز هویت است. مهاجم می‌تواند با ایجاد تداخلی پایدار در توکن‌ها، باعث Fail شدن اعتبارسنجی، تغییر رفتار درخواست‌ها یا اختلال در state شود. این Impact در مدل ATT&CK یک حمله مستقیم نیست، اما خروجی‌اش در لایه اپلیکیشن جدی است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8037
2. https://www.cvedetails.com/cve/CVE-2025-8037/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8037
4. https://vuldb.com/?id.317369
5. https://vuldb.com/?id.317368
6. https://www.mozilla.org/security/advisories/mfsa2025-56/
7. https://www.mozilla.org/security/advisories/mfsa2025-59/
8. https://www.mozilla.org/security/advisories/mfsa2025-61/
9. https://www.mozilla.org/security/advisories/mfsa2025-63/
10. https://nvd.nist.gov/vuln/detail/cve-2025-8037
11. https://cwe.mitre.org/data/definitions/614.html