نرمافزار UISP برای مدیریت متمرکز تجهیزات شبکه مانند روترها، رادیوهای وایرلس، سوئیچها و سایر محصولات شرکت Ubiquiti طراحی شده است. اخیراً یک آسیبپذیری با شناسهی CVE-2025-24290 و شدت 9.9 در این نرمافزار شناسایی شده است. این نقص در ورودیهایی که بهدرستی پاکسازی نشدهاند، به مهاجم اجازه میدهد بدون نیاز به تعامل با کاربر، عملکرد سرویس را بهطور کامل مختل کند.
جزئیات آسیبپذیری
آسیبپذیری فوق از نوع تزریق SQL احرازهویتشده است که به مهاجم دارای حساب کاربری با سطح دسترسی پایین امکان میدهد تا از طریق ارسال ورودیهای مخرب، به دستورات پایگاه داده دسترسی پیدا کرده و آنها را اجرا کند. بهرهبرداری از این آسیبپذیری میتواند منجر به افزایش سطح دسترسی کاربر به سطح مدیریتی، مشاهده یا تغییر اطلاعات حساس و در برخی موارد کنترل کامل سامانه گردد.
بردار CVSS: 3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
نشان میدهد این آسیبپذیری از طریق شبکه، بدون نیاز به تعامل با کاربر و با پیچیدگی پایین قابل بهرهبرداری است. مهاجم میتواند با دسترسی به یک حساب کاربری سطح پایین، تأثیر بسیار بالایی بر محرمانگی، یکپارچگی و در دسترسپذیری سیستم داشته باشد. ماهیت این حمله از نوع گسترده و سیستماتیک بوده و تأثیر آن بهصورت همزمان بر چند مؤلفه امنیتی وارد میشود.
نسخههای تحت تأثیر
- تمام نسخههای نرمافزار UISP قبل و شامل نسخهی 2.4.206 تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
- بهروزرسانی به آخرین نسخهی منتشرشده توسط شرکت Ubiquiti
- محدودسازی دسترسی به پنل مدیریتی UISP به IPهای مجاز
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-24290
- 40