آسیبپذیری جدیدی با شناسه CVE-2025-32016 در بستهی Microsoft.Identity.Web کشف شده که میتواند منجر به افشای اطلاعات حساس مانند Client Secretها، گواهیهای رمزگذاریشده Base64، و مسیر گواهینامهها با پسورد در لاگهای سرویس شود.
این آسیبپذیری در سطح moderate (متوسط) ارزیابی شده و به توسعهدهندگان توصیه میشود فوراً نسبت به بهروزرسانی یا اعمال راهکارهای مقابله اقدام کنند.
🔐 شرایط آسیبپذیری:
-
سطح لاگبرداری (Logging Level):
زمانی که لاگها در سطح"Information"تولید شوند، احتمال افشای دادههای محرمانه بالا میرود. -
نوع Credential استفادهشده:
-
ClientSecret -
Base64Encoded -
Certificate Pathsبا مشخصات پسورد -
گواهینامههای نامعتبر یا منقضیشده نیز در خطر هستند، حتی اگر قابل استفاده نباشند.
-
📌 این مشکل بیشتر سرویسهایی را تحت تأثیر قرار میدهد که از ClientCredentialهایی با مشخصات بالا و سطح لاگ Information استفاده میکنند.
💥 خطرات اصلی:
-
لو رفتن اطلاعات محرمانه در لاگها، بهخصوص در محیطهایی که کنترل دقیقی بر روی فایلهای لاگ وجود ندارد.
-
قابل سوءاستفاده در صورت دسترسی غیرمجاز به لاگها توسط مهاجمین.
✅ راهکارهای پیشنهادی برای محیطهای Production:
🔹 از Credentialهایی مانند
ClientSecret،Base64EncodedیاPathاستفاده نکنید.
🔹 به جای آن از گواهینامههای ذخیرهشده در Azure KeyVault یا Certificate Store سیستم استفاده کنید.
🔹 استفاده از Managed Identity یا Federation Credentials پیشنهاد میشود.
🆕 نسخههای امن و بهروزرسانیشده:
-
Microsoft.Identity.Webنسخه۳.۸.۲ -
Microsoft.Identity.Abstractionsنسخه۹.۰.۰
🛠️ در صورتی که بهروزرسانی فوری ممکن نیست:
🔸 لاگها را ایمن کنید و اطمینان حاصل کنید فقط افراد مجاز دسترسی دارند.
🔸 سطح لاگ Microsoft.Identity.Web را از Information به Warning یا Error تغییر دهید تا از ثبت اطلاعات حساس جلوگیری شود.
📌 جمعبندی:
این آسیبپذیری یادآور اهمیت بالای مدیریت امن لاگها و انتخاب صحیح روشهای احراز هویت و ذخیره گواهینامهها است. توسعهدهندگان باید با بروزرسانی کتابخانهها یا اعمال پیکربندیهای جایگزین، از افشای ناخواسته اطلاعات محرمانه جلوگیری کنند.
یک نظر