HylaFAX و رابط وب آن AvantFAX برای مدیریت ارسال و دریافت فکس در بستر شبکه و وب استفاده میشود. اخیراً آسیبپذیری بحرانی از نوع تزریق فایل دلخواه با شناسهی CVE-2025-1782 و شدت 9.9 روی آنها شناسایی شده است که میتواند توسط مهاجم احراز هویتشده برای دور زدن محدودیتها، افزایش سطح دسترسی، و در مواردی، کنترل کامل بر سرور هدف مورد استفاده قرار گیرد.
جزئیات آسیبپذیری
در رابط وب HylaFAX Enterprise و نرمافزار AvantFAX، پارامتر language که از فرمهای HTML دریافت میشود، بدون پاکسازی مستقیماً در کد PHP استفاده میشود. مهاجم احراز هویتشده میتواند با دستکاری این مقدار، فایل دلخواه خود را بهصورت مستقیم در کد PHP درج کند و امکان اجرای کد دلخواه با سطح دسترسی کاربر وبسرور (apache یا www-data) را برای مهاجم فراهم میکند.
بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H نشان میدهد با بهرهبرداری از این آسیبپذیری، مهاجم با داشتن سطح دسترسی کاربر عادی و بدون نیاز به تعامل با کاربر دیگر، میتواند از راه دور، محرمانگی، یکپارچگی و در دسترس بودن سیستم را بهشدت تحت تأثیر قرار دهد.
نسخههای تحت تأثیر
- HylaFAX Enterprise Web Interface: نسخههای ارائهشدهی پیش از تاریخ ۱۴ آوریل ۲۰۲۵
- AvantFAX: تمامی نسخههای موجود
توصیههای امنیتی
- بهروزرسانی نرمافزار در صورت ارائهی وصلهی امنیتی از سوی HylaFAX یا AvantFAX
- محدود کردن دسترسی کاربران و بررسی صحت آنها
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-1782
[2]https://www.cvedetails.com/cve/CVE-2025-1782
- 9