کشف آسیب‌پذیری تزریق SQL در نرم‌افزار Z-Push

آسیب‌پذیری CVE‑2025‑8264 با شدت 9.1 مربوط به ضعف امنیتی از نوع SQL Injection در نرم‌افزار متن‌باز Z‑Push است که در نسخه‌های پیش از 2.7.6 وجود دارد. این نقص ناشی از اجرای کوئری‌های SQL بدون استفاده از پارامتر (unparameterized queries) در بخش IMAP است و به مهاجم اجازه می‌دهد با دستکاری فیلد username در احراز هویت پایه (Basic Auth)، دستورات SQL دلخواه اجرا کند. این ضعف تنها در صورت فعال بودن گزینه IMAP_FROM_SQL_QUERY تأثیرگذار است و می‌تواند منجر به افشای اطلاعات یا تغییر داده‌های حساس شود.

محصولات تحت‌تأثیر

• Z-Push نسخه‌های پیش از 2.7.6
• پیکربندی‌هایی که در آن‌ها گزینه‌ی IMAP_FROM_SQL_QUERY فعال باشد.
• سرورهایی که از Basic Authentication استفاده می‌کنند.
• نصب‌هایی که با MySQL/MariaDB/PostgreSQL به عنوان بک‌اند دیتابیس کار می‌کنند.

توصیه‌های امنیتی

1. ارتقاء فوری به نسخه‌ی امن Z-Push 2.7.6 یا بالاتر
   ‒ توسعه‌دهندگان در این نسخه، آسیب‌پذیری SQL Injection را در ماژول IMAP backend برطرف کرده‌اند.

2. غیرفعال‌سازی گزینه‌ی IMAP_FROM_SQL_QUERY در پیکربندی
   ‒ در صورتی که نیازی به کوئری‌های سفارشی نیست، این گزینه باید غیرفعال شود تا مسیر ورود کدهای مخرب بسته شود.

3. استفاده از روش‌های احراز هویت امن‌تر به‌جای Basic Authentication
   ‒ مانند OAuth یا استفاده از احراز هویت دو مرحله‌ای برای کاهش ریسک دستکاری ورودی‌ها.

4. بررسی دقیق لاگ‌های سرور جهت شناسایی فعالیت‌های مشکوک
   ‒ به‌ویژه لاگ‌های مرتبط با ورودی‌های نام کاربری که شامل -- ، ; ، یا OR 1=1 هستند.

5. اعمال محدودیت دسترسی به فایل پیکربندی
   ‒ تا از دسترسی یا تغییر ناخواسته به تنظیمات IMAP_FROM_SQL_QUERY جلوگیری شود.

6. تهیه نسخه پشتیبان پیش از هر تغییری
   ‒ برای بازیابی سریع در صورت بروز خطا یا نفوذ موفق.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8264