کشف آسیب پذیری افشای اطلاعات در چارچوب وبلاگی ThriveX

آسیب‌پذیری CVE-2025-57266 با شدت 9.8 از 10 در چارچوب وبلاگی ThriveX نسخه‌های 2.5.9 تا 3.1.3 شناسایی شده است.
این نقص در فایل AssistantController.java و به‌طور مشخص در مسیر /api/assistant/list وجود دارد و به مهاجمان غیرمجاز اجازه می‌دهد بدون نیاز به احراز هویت به اطلاعات حساس از جمله کلیدهای API دسترسی پیدا کنند.

علت اصلی این مشکل، نبود کنترل دسترسی و اعتبارسنجی مناسب برای درخواست‌های ورودی است. در صورت بهره‌برداری، مهاجم می‌تواند از داده‌های افشاشده برای انجام حملاتی مانند جعل هویت، سوءاستفاده از سرویس‌های متصل، یا دور زدن مکانیزم‌های امنیتی استفاده کند.
این آسیب‌پذیری محرمانگی سیستم را به‌شدت تحت تأثیر قرار می‌دهد و احتمال نقض یکپارچگی داده‌ها را افزایش می‌دهد.

رفع این نقص در نسخه‌های جدیدتر انجام شده و توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقای نسخه و فعال‌سازی مکانیزم‌های امنیتی تکمیلی اقدام کنند.

محصولات تحت‌تأثیر

• ThriveX Blogging Framework نسخه‌های 2.5.9 تا 3.1.3
• هر سامانه، وب‌سایت یا سرویسی که بر پایهٔ این چارچوب توسعه یافته و از ماژول AssistantController یا مسیر /api/assistant/list استفاده می‌کند.

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخهٔ امن (پس از 3.1.3 یا آخرین نسخهٔ پایدار منتشرشده)
• اعمال کنترل دسترسی سخت‌گیرانه بر تمام endpointهای API و اطمینان از نیاز به احراز هویت برای دسترسی به داده‌های حساس
• چرخش کلیدهای API و بازتولید توکن‌های امنیتی در صورت احتمال افشای اطلاعات
• فعال‌سازی لاگ‌برداری و مانیتورینگ جهت شناسایی درخواست‌های مشکوک یا غیرمجاز به مسیر /api/assistant/list
• اعمال محدودیت‌های شبکه‌ای مانند فایروال یا API Gateway برای جلوگیری از دسترسی مستقیم غیرمجاز به APIها

منبع خبر:

[1]https://www.tenable.com/cve/CVE-2025-57266