- شناسه CVE-2025-8866 :CVE
- CWE-200 :CWE
- yes :Advisory
- منتشر شده: آگوست 11, 2025
- به روز شده: آگوست 11, 2025
- امتیاز: 5.1
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: تجهیزات شبکه و امنیت
- برند: YugabyteDB Inc
- محصول: YugabyteDB Anywhere
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در وبسرور YugabyteDB Anywhere، در endpoint API با آدرس /metamaster/universe شناسایی شده است. این آسیبپذیری به مهاجمان بدون احراز هویت اجازه میدهد تا به جزئیات پیکربندی شبکه سرور، از جمله آدرسهای IP و رکوردهای DNS دسترسی پیدا کنند.
توضیحات
آسیبپذیری CVE-2025-8866 از نوع افشای اطلاعات حساس به عامل غیرمجاز (مطابق با CWE-200) است. این آسیب پذیری زمانی رخ می دهد که نرم افزار، به دلیل ضعف در احراز هویت یا کنترل دسترسی، اطلاعات حساس را در اختیار افرادی قرار دهد که مجاز به مشاهده آن نیستند.
در این مورد، وبسرور YugabyteDB Anywhere در endpoint API با آدرس /metamaster/universe به درستی احراز هویت را اعمال نمیکند. این ضعف به مهاجمان بدون احراز هویت اجازه میدهد تا با ارسال درخواست به این endpoint، جزئیات پیکربندی شبکه سرور مانند آدرسهای IP خصوصی و عمومی و رکوردهای DNS را استخراج کنند. این حمله تنها از داخل شبکه لوکال قابل اجرا است، نیاز به سطح دسترسی پایین دارد و بدون تعامل کاربر انجام میشود. پیامد این آسیبپذیری نقض محرمانگی (Confidentiality) با امکان افشای اطلاعات حساس مانند آدرسهای IP و رکوردهای DNS که میتواند برای شناسایی ساختار شبکه و آمادهسازی حملات بعدی (مانند شناسایی داراییها یا حملات هدفمند) استفاده شود.
این آسیبپذیری میتواند منجر به افشای اطلاعات زیرساختی شبکه شده و به مهاجمان کمک کند تا نقشه شبکه (Network Mapping) را ترسیم کرده یا حملات پیشرفتهتری مانند دسترسی غیرمجاز یا حملات هدفمند را برنامهریزی کنند. لازم به ذکر است که بهروزرسانی به نسخه 2025.x این آسیب پذیری را پچ میکند.
CVSS
| Score | Severity | Version | Vector String |
| 5.1 | MEDIUM | 4.0 | CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/U:Clear |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| Affected at 2024.*
Affected at 2.20.* |
Linux, MacOS, ARM, x86 | YugabyteDB Anywhere |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| Unaffected at 2025.* | Linux, MacOS, ARM, x86 | YugabyteDB Anywhere |
نتیجه گیری
به کاربران توصیه میشود در اسرع وقت YugabyteDB Anywhere را به نسخه 2025.x یا بالاتر بهروزرسانی کرده تا از افشای اطلاعات حساس جلوگیری شود. همچنین، محدود کردن دسترسی endpointهای API به آدرسهای IP مورد اعتماد (Trusted IPs)، فعالسازی فایروالهای شبکه برای فیلتر کردن ترافیک مشکوک و نظارت بر لاگهای سرور برای شناسایی درخواستهای غیرمجاز توصیه میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8866
- https://www.cvedetails.com/cve/CVE-2025-8866/
- https://docs.yugabyte.com/preview/secure/vulnerability-disclosure-policy/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8866
- https://vuldb.com/?id.319438
- https://nvd.nist.gov/vuln/detail/CVE-2025-8866
- https://cwe.mitre.org/data/definitions/200.html
