آسیبپذیری CVE-2025-9118 با شدت 10 یک ضعف امنیتی جدی از نوع Path Traversal در فرآیند نصب پکیجهای NPM مربوط به سرویس Google Cloud Dataform است. این نقص به مهاجم اجازه میدهد از طریق یک فایل مخرب package.json به فایلهای خارج از محدوده مجاز دسترسی پیدا کرده و آنها را بخواند یا بازنویسی کند. در محیطهای چندمشتری (multi-tenant) این موضوع میتواند منجر به افشای دادههای محرمانه، تغییر ساختار پروژهها و حتی حملات زنجیره تأمین نرمافزار شود. بهرهبرداری از این آسیبپذیری نیاز به احراز هویت ندارد و میتواند از راه دور انجام شود؛ بنابراین سطح تهدید آن بسیار بالا بوده و در دستهبندی Critical قرار میگیرد.
محصولات تحتتأثیر
- Google Cloud Dataform
تمامی نسخههای سرویس Dataform که فرآیند نصب پکیجهای NPM در آنها بدون اعمال وصلههای امنیتی انجام میشود، آسیبپذیر هستند.
توصیههای امنیتی
- بهروزرسانی سرویس Google Cloud Dataform به آخرین نسخه وصلهشده
- جلوگیری از نصب پکیجهای ناشناس یا غیرقابل اعتماد
- ایزولهسازی پروژهها و محیطها برای کاهش خطر Cross-Repository
- مانیتورینگ لاگها و فعالیتهای نصب NPM برای شناسایی رفتار مشکوک
- استفاده از Dependency Scanning و npm audit جهت بررسی امنیت پکیجها
- اعمال حداقل سطح دسترسی (Least Privilege) برای کاربران و سرویسها
- پیادهسازی Code Review اجباری قبل از اضافهشدن dependency جدید
- استفاده از Artifact Registry یا مخزن امن داخلی برای مدیریت پکیجها
منبع خبر:
- 20