اخیراً یک آسیبپذیری با شناسهی CVE-2025-25200 و شدت 9.2 در Koa، که یک فریمورک میانافزار برای Node.js است، شناسایی شده است. این نقص ناشی از یک عبارت با قاعدهی مخرب در پردازش سرآیندهای X-Forwarded-Proto و X-Forwarded-Host است. این ضعف امنیتی میتواند به مهاجمان امکان دهد تا با ارسال درخواستهای خاص، پردازش سرور را بهشدت کند کرده و منجر به حملهی منع سرویس (DoS) شوند.
جزئیات آسیبپذیری
در Koa، سرآیندهای X-Forwarded-Proto و X-Forwarded-Host برای شناسایی پروتکل و نام میزبان واقعی در پشت پروکسیها استفاده میشوند. اما پردازش نادرست این سرآیندها با یک عبارت با قاعده مخرب میتواند منجر به حمله منع سرویس (DoS) شود.
- برای بهرهبرداری از این ضعف، مهاجم یک درخواست HTTP شامل یک مقدار دستکاریشده در این دو سرآیند ارسال میکند.
- عبارت با قاعدهی مخرب در Koa تلاش میکند این مقدار را پردازش کند، اما به دلیل ضعف در الگو، زمان زیادی برای پردازش نیاز دارد.
- اگر مهاجم چندین درخواست از این نوع ارسال کند، پردازندهی سرور اشغال شده و عملاً پاسخگوی سایر درخواستها نخواهد بود.
بردار CVSS: 4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H نشان میدهد که:
- این آسیبپذیری از راه دور و بدون نیاز به احراز هویت قابل سوءاستفاده است (AV:N, PR:N)،
- بهرهبرداری از آن نیازی به تعامل کاربر ندارد (UI:N)،
- دسترسپذیری سیستم را بهشدت تحت تأثیر قرار میدهد (VA:H, SA:H)،
- اما از نظر افشای اطلاعات یا نقض یکپارچگی دادهها تأثیر قابلتوجهی ندارد (VC:N, VI:N, SC:N, SI:N).
نسخههای تحت تأثیر
تمام نسخههای قبل از:
- 0.21.2
- 1.7.1
- 2.15.4
- 3.0.0-alpha.3
تحت تأثیر این آسیبپذیری هستند.
توصیههای امنیتی
- بهروزرسانی Koa به نسخههای 0.21.2، 1.7.1، 2.15.4 یا 3.0.0-alpha.3 که این نقص را برطرف کرده است.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-25200
[2]https://www.cve.org/CVERecord?id=CVE-2025-25200
[3]https://github.com/koajs/koa/security/advisories/GHSA-593f-38f6-jp5m
- 74