آسیبپذیری CVE-2025-12001 با شدت 10 مربوط به نبود پاکسازی مناسب در فیلدهای Application Manifest در محصولات BLU-IC2 و BLU-IC4 تا نسخه 1.19.5 است. این نقص باعث میشود مهاجم بتواند کد جاوااسکریپت مخربی را در فایل manifest ذخیره کند که هنگام مشاهده توسط سایر کاربران در مرورگر اجرا میشود. در نتیجه، این آسیبپذیری از نوع Stored Cross-Site Scripting )XSS) بوده و میتواند به سرقت نشستها، افشای اطلاعات حساس و اجرای عملیات ناخواسته بهنام کاربران منجر شود. بهرهبرداری معمولاً به دسترسی کاربری نیاز دارد، اما در صورت باز بودن فرمهای ورودی، امکان سوءاستفاده بدون احراز هویت نیز وجود دارد. برای کاهش خطر، توصیه میشود نمایش فیلدهای manifest تنها بهصورت متن خالص انجام شود، سیاستهای امنیتی مرورگر مانند Content-Security-Policy فعال گردد و در سمت سرور از پاکسازی و رمزگذاری خروجی مناسب استفاده شود. همچنین بررسی دادههای ذخیرهشده برای یافتن ورودیهای مشکوک و بهروزرسانی نرمافزار در صورت انتشار وصله امنیتی ضروری است.
- BLU-IC2 تمامی نسخهها تا 1.19.5
- BLU-IC4 تمامی نسخهها تا 1.19.5
- بهروزرسانی سریع به نسخهٔ جدید یا وصلهشده در صورت انتشار پچ رسمی.
- پاکسازی ورودیها و HTML-encode خروجیهای مرتبط با فیلدهای Manifest.
- نمایش دادهها بهصورت متن خالص و جلوگیری از اجرای هرگونه کد HTML یا JavaScript.
- اعمال Content-Security-Policy (CSP) برای محدود کردن اجرای اسکریپتها.
- بررسی پایگاه داده جهت یافتن و حذف ورودیهای مشکوک یا مخرب.
- فعالسازی HttpOnly و Secure برای کوکیها بهمنظور کاهش خطر سرقت نشست
- 40