ToDesktop ابزاری است که برای تبدیل برنامههای وب به برنامههای دسکتاپ استفاده میشود. در نسخههای قبل از 03-10-2024، یک آسیبپذیری بحرانی با شناسهی CVE-2025-27554 و شدت 9.9 شناسایی شده است که به مهاجمان اجازه میدهد با استفاده از یک اسکریپت postinstall در package.json، دستورات مخرب را روی سرور ساخت اجرا کنند. این نقص امنیتی میتواند منجر به افشای اطلاعات، دسترسی غیرمجاز به سرور و انتشار بهروزرسانیهای آلوده شود.
جزئیات آسیبپذیری
این آسیبپذیری به مهاجمان اجازه میدهد کدهای مخرب را در فایل package.json تزریق کنند. این کدهای مخرب میتوانند در زمان اجرای اسکریپتهای postinstall که پس از نصب وابستگیها اجرا میشوند یا در سایر اسکریپتها، بهصورت خودکار روی سرور ساخت اجرا شوند.
بهرهبرداری از این نقص ممکن است منجر به:
- دسترسی غیرمجاز به فایل config.prod.json و تغییر پیکربندی نرمافزار،
- در دست گرفتن کنترل فرایند ساخت،
- انتشار نسخههای آلوده از نرمافزارهای ساختهشده گردد.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H نشاندهندهی یک آسیبپذیری با شدت بالا است که:
- مهاجم میتواند از طریق شبکه و با دسترسی سطح پایین، بدون نیاز به تعامل کاربر، از آن بهرهبرداری کند،
- این نقص امنیتی میتواند منجر به تغییرات در یکپارچگی دادهها و اختلال در دسترسپذیری سیستم شود.
نسخههای تحت تأثیر
نسخههای قبل از 03-10-2024 نرمافزار ToDesktop تحت تأثیر این آسیبپذیری هستند.
توصیههای امنیتی
- بهروزرسانی نرمافزار به نسخهی 03-10-2024 یا جدیدتر،
- بررسی امنیتی package.json در پروژههایی که با ToDesktop ساخته شدهاند،
- نظارت بر اسکریپتهای postinstall در npm و جلوگیری از اجرای خودکار آنها.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-27554
[2]https://www.cve.org/CVERecord?id=CVE-2025-27554
[3]https://www.todesktop.com/blog/posts/security-incident-at-todesktop
- 91