آسیبپذیری CVE-2025-65015 با شدت 9.2 در کتابخانه Pythonی joserfc بهدلیل نحوه نامناسب مدیریت خطاهای مرتبط با توکنهای JWT بیشازحد بزرگ ایجاد میشود. در هنگام پردازش یک JWT با اندازه غیرعادی، کتابخانه استثنای ExceededSizeError را صادر میکند، اما پیام این خطا شامل بخشهای رمزگشایینشده توکن است که مستقیماً وارد سیستم لاگ میشود. این رفتار میتواند منجر به افشای دادههای حساس در لاگها و همچنین ایجاد لاگهای بسیار حجیم در صورت ارسال عمدی توکنهای ساختگی توسط مهاجم شود. این نقص زمانی خطرناکتر میشود که یک وبسرور نامناسب یا بدون پیکربندی محافظتی مناسب در برابر برنامه Python قرار داشته باشد و مهاجم بتواند توکنهای دلخواه در Header درخواست ارسال کند. در چنین شرایطی، سامانه لاگینگ یا ابزارهای مانیتورینگ مانند Sentry ممکن است دچار فشار پردازشی یا حجمی شوند. این مشکل در نسخههای 1.3.5 و 1.4.2 اصلاح شده است و بهروزرسانی فوری توصیه میشود.
- کتابخانه Python joserfc
- نسخههای 1.3.3 تا قبل از 1.3.5
- نسخههای 1.4.0 تا قبل از 1.4.2
- تمام برنامههای وب Python که برای پردازش JWT از joserfc استفاده میکنند.
- APIها و سرویسهای احراز هویت مبتنی بر JWT که توکن را از طریق HTTP Header دریافت میکنند.
- سیستمهای لاگینگ و مانیتورینگ وابسته به خروجی برنامه
- (مثل Python logging، Sentry، ELK و سایر ابزارهای SIEM)
- محیطهایی با وبسرورهای غیرپیکربندیشده یا بدون محدودیت اندازه Header
- (Nginx، Apache یا سرورهای توسعه داخلی)
- بهروزرسانی فوری کتابخانه joserfc به نسخههای 1.3.5 یا 1.4.2 و بالاتر.
- محدود کردن اندازه Header در وبسرور (Nginx/Apache) برای جلوگیری از ارسال توکنهای بسیار بزرگ.
- عدم ثبت مستقیم دادههای حساس در لاگها و فعالسازی log sanitization.
- استفاده از WAF برای جلوگیری از ارسال Payloadهای غیرعادی یا بیشازحد بزرگ.
- ایزولهسازی و نظارت بر سیستمهای لاگینگ برای جلوگیری از مصرف بیشازحد حافظه یا Crash.
- جلوگیری از نمایش پیامهای خطای کامل در محیط Production (خاموشکردن debug)..
- 27