آسیبپذیری CVE-2025-54322 با شدت 10 یک نقص امنیتی بسیار بحرانی در سیستمعامل XSpeeder SXZOS است که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه خود را از راه دور اجرا کند. این مشکل از پردازش ناامن پارامتر chkid در فایل vLogin.py ناشی میشود که امکان تزریق کد Python رمزگذاریشده با Base64 را فراهم میکند. پارامترهای دیگری مانند title و oIP نیز در مسیر اجرای کد نقش دارند. در صورت بهرهبرداری موفق، کد تزریقشده با سطح دسترسی root اجرا میشود و مهاجم میتواند کنترل کامل دستگاه را به دست بگیرد. این آسیبپذیری میتواند منجر به سرقت اطلاعات، دستکاری تنظیمات سیستمی و ایجاد دسترسی پایدار شود. سادگی بهرهبرداری و سطح دسترسی بالا، این نقص را به یک تهدید بسیار جدی برای سیستمهای مبتنی بر SXZOS تبدیل میکند.
- XSpeeder SXZOS
- نسخههای تا 2025‑12‑26 (شامل نسخههای قبل از تاریخ پچ)
- هر دستگاه یا سیستمِ SXZOS که دارای فایل آسیبپذیر vLogin.py باشد
- سیستمهایی که پارامتر chkid را در فرآیند احراز هویت یا ورودی HTTP قبول میکنند
- استقرارهایی که بدون احراز هویت (unauthenticated) در معرض اینترنت قرار دارند
- بهروزرسانی فوری SXZOS به نسخهای که این مشکل در آن رفع شده است.
- محدودسازی دسترسی شبکهای به سرویسهای مدیریتی و پورتهای مرتبط با vLogin.
- قرار دادن دستگاهها پشت فایروال / VPN و عدم قرارگیری مستقیم در اینترنت.
- بررسی و حذف ورودیهای مشکوک در chkid، title و oIP برای جلوگیری از تزریق Base64.
- فعالسازی احراز هویت چندعاملی (MFA) برای مدیریت دستگاه در صورت امکان.
- نظارت و پایش لاگها برای شناسایی تلاشهای غیرمجاز برای اجرای کد.
- ایزولهسازی سرویس SXZOS در شبکههای جداگانه (VLAN/DMZ) برای کاهش برد حمله.
- 49