Roo Code یک عامل هوش مصنوعی است که بهمنظور تسریع فرآیند توسعه نرمافزار، پیشنهاد کد، تکمیل خودکار، رفع خطا و تولید ساختارهای پیچیده نرمافزاری درون ویرایشگرهای توسعهدهندگان مورد استفاده قرار میگیرد. این ابزار به طور مستقیم با مخازن کد یکپارچه میشود و با کمک گردشهای کاری تعریفشده در GitHub Actions، قابلیتهای توسعه و استقرار خودکار را ارائه میدهد. اخیراً آسیبپذیری CVE-2025-58371 با شدت 9.9 در این ابزار شناسایی شده است که میتواند منجر به تسلط کامل مهاجم بر مخزن و تمامی سرویسهای متصل به آن گردد.
جزئیات آسیبپذیری
در Roo Code یک GitHub Actions Workflow وجود دارد که قبل از پردازش Pull Requestها از بخش توضیحات که بهدرستی بررسی و پاکسازی نمیشوند، استفاده میکند. بنابراین مهاجم میتواند در توضیحات Pull Request، دادههای مخرب قرار دهد. چون این اطلاعات مستقیماً و بدون بررسی امنیتی وارد Workflow میشوند، کد تزریقشده توسط مهاجم در سیستمی که Workflow روی آن اجرا میشود، به مرحله اجرا درمیآید.
از آنجا که این Workflow دسترسیهای گسترده به مخزن و اطلاعات حساس دارد، مهاجم پس از اجرای کد مخرب میتواند:
- کد موجود در مخزن را تغییر داده یا حذف کند،
- به اطلاعات محرمانه مثل توکنها یا کلیدهای API دسترسی یابد،
- نسخههای آلوده یا مخربی از نرمافزار را منتشر کند.
این نقص باعث میشود مهاجم بدون دسترسی مستقیم به مخزن، تنها با باز کردن یک Pull Request دستکاریشده بتواند کنترل کامل پروژه و اطلاعات حساس آن را در دست بگیرد.
بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:N نشان میدهد مهاجم میتواند از راه دور و بدون نیاز به دسترسی قبلی یا تعامل با کاربران، حمله را بدون پیچیدگی فنی بالا انجام دهد. بهرهبرداری از این نقص محرمانگی دادهها، یکپارچگی کد و همچنین امنیت فرآیند توسعه و انتشار نرمافزار را تهدید میکند.
نسخههای تحتتأثیر
-
Roo Code 3.26.6 و تمامی نسخههای قبل از آن تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
-
بهروزرسانی Roo Code به نسخهی اصلاحشدهی 3.26.7.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-58371
[2]https://www.cvedetails.com/cve/CVE-2025-58371
[3]https://www.cve.org/CVERecord?id=CVE-2025-58371
[4]https://github.com/RooCodeInc/Roo-Code/security/advisories/GHSA-xr6r-vj48-29f6
- 15