آسیب‌پذیری در Microsoft.Identity.Web و افشای اطلاعات محرمانه در لاگ‌ها

آسیب‌پذیری جدیدی با شناسه CVE-2025-32016 در بسته‌ی Microsoft.Identity.Web کشف شده که می‌تواند منجر به افشای اطلاعات حساس مانند Client Secretها، گواهی‌های رمزگذاری‌شده Base64، و مسیر گواهی‌نامه‌ها با پسورد در لاگ‌های سرویس شود.

این آسیب‌پذیری در سطح moderate (متوسط) ارزیابی شده و به توسعه‌دهندگان توصیه می‌شود فوراً نسبت به به‌روزرسانی یا اعمال راهکارهای مقابله اقدام کنند.

🔐 شرایط آسیب‌پذیری:

1. سطح لاگ‌برداری (Logging Level):
   زمانی که لاگ‌ها در سطح "Information" تولید شوند، احتمال افشای داده‌های محرمانه بالا می‌رود.

2. نوع Credential استفاده‌شده:

   • ClientSecret

   • Base64Encoded

   • Certificate Paths با مشخصات پسورد

   • گواهی‌نامه‌های نامعتبر یا منقضی‌شده نیز در خطر هستند، حتی اگر قابل استفاده نباشند.

📌 این مشکل بیشتر سرویس‌هایی را تحت تأثیر قرار می‌دهد که از ClientCredentialهایی با مشخصات بالا و سطح لاگ Information استفاده می‌کنند.

💥 خطرات اصلی:

• لو رفتن اطلاعات محرمانه در لاگ‌ها، به‌خصوص در محیط‌هایی که کنترل دقیقی بر روی فایل‌های لاگ وجود ندارد.

• قابل سوءاستفاده در صورت دسترسی غیرمجاز به لاگ‌ها توسط مهاجمین.

✅ راهکارهای پیشنهادی برای محیط‌های Production:

🔹 از Credentialهایی مانند ClientSecret، Base64Encoded یا Path استفاده نکنید.
🔹 به جای آن از گواهی‌نامه‌های ذخیره‌شده در Azure KeyVault یا Certificate Store سیستم استفاده کنید.
🔹 استفاده از Managed Identity یا Federation Credentials پیشنهاد می‌شود.

🆕 نسخه‌های امن و به‌روزرسانی‌شده:

• Microsoft.Identity.Web نسخه ۳.۸.۲

• Microsoft.Identity.Abstractions نسخه ۹.۰.۰

🛠️ در صورتی که به‌روزرسانی فوری ممکن نیست:

🔸 لاگ‌ها را ایمن کنید و اطمینان حاصل کنید فقط افراد مجاز دسترسی دارند.
🔸 سطح لاگ Microsoft.Identity.Web را از Information به Warning یا Error تغییر دهید تا از ثبت اطلاعات حساس جلوگیری شود.

📌 جمع‌بندی:

این آسیب‌پذیری یادآور اهمیت بالای مدیریت امن لاگ‌ها و انتخاب صحیح روش‌های احراز هویت و ذخیره گواهی‌نامه‌ها است. توسعه‌دهندگان باید با بروزرسانی کتابخانه‌ها یا اعمال پیکربندی‌های جایگزین، از افشای ناخواسته اطلاعات محرمانه جلوگیری کنند.