آسیب‌پذیری CVE-2025-63535  باشدت 9.6 یک نقص امنیتی از نوع تزریق SQL در ماژول abs.php سامانه Blood Bank Management System 1.0 است که به دلیل نبود فیلترسازی و اعتبارسنجی صحیح ورودی‌ها ایجاد شده است. مهاجم می‌تواند با ارسال داده‌های مخرب در فیلد جستجو، کوئری SQL برنامه را تغییر داده و به پایگاه داده دسترسی مستقیم پیدا کند. این نقص امکان دور زدن کامل مکانیزم احراز هویت را فراهم کرده و مهاجم بدون داشتن نام کاربری یا رمز عبور می‌تواند وارد سیستم شود. در سناریوهای پیشرفته‌تر، امکان استخراج اطلاعات حساس، تغییر داده‌ها، حذف رکوردها یا حتی کنترل کامل پایگاه داده نیز وجود دارد. سادگی بهره‌برداری و حساسیت داده‌های ذخیره‌شده در این سیستم، این آسیب‌پذیری را به یک تهدید جدی برای سازمان‌های استفاده‌کننده تبدیل می‌کند.

محصولات تحت‌تأثیر

• HexStrike AI MCP ServerBlood Bank Management System نسخه 1.0
• همه نصب‌هایی که از فایل abs.php بدون فیلترسازی ورودی استفاده می‌کنند
• نسخه‌هایی که روی سرورهای LAMP/XAMPP بدون تنظیمات امنیتی اضافی اجرا شده‌اند
• تمامی استقرارهایی که دارای قابلیت جستجو (Search) فعال هستند.

توصیه‌های امنیتی

• بروزرسانی یا اصلاح کد abs.php جهت استفاده از prepared statements یا parameterized queries
• اعتبارسنجی و پاک‌سازی ورودی‌ها در تمام فیلدهای دریافت داده از کاربر
• محدودسازی سطح دسترسی پایگاه‌داده و عدم استفاده از حساب کاربری با سطح دسترسی کامل (root)
• فعال‌سازی WAF یا فایروال برنامه وب جهت مسدودسازی الگوهای تزریق SQL
• محدود کردن دسترسی به صفحه abs.php یا محافظت آن با احراز هویت
• اجرای پشتیبان‌گیری منظم برای جلوگیری از از دست رفتن اطلاعات در صورت سوءاستفاده
• بررسی لاگ‌ها برای تشخیص تلاش‌های مشکوک تزریق SQL.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-63535

CVE-2025-3500 یک آسیب‌پذیری با شدت ۹.۰ در موتور پردازش Avast Antivirus است که به دلیل بروز یک سرریز عددی در بخش پردازش داده‌ها اهمیت بالایی دارد. این نقص می‌تواند با تعامل کاربر و پردازش یک فایل یا ورودی دستکاری‌شده فعال شود و باعث اجرای رفتار غیرمنتظره در مؤلفه‌های اصلی موتور آنتی‌ویروس گردد. بهره‌برداری موفق از این آسیب‌پذیری ممکن است به مهاجم امکان افزایش سطح دسترسی و دور زدن برخی سازوکارهای حفاظتی سیستم را بدهد و در نتیجه تهدید برای امنیت دستگاه محسوب می‌شود.

این آسیب‌پذیری از نوع سرریز عددی است و زمانی رخ می­دهد که بخش‌هایی از موتور امنیتی مقادیر عددی ورودی را بدون انجام اعتبارسنجی صحیح پردازش می‌کنند و به‌دلیل سرریز در محاسبات، مقادیر به محدوده‌ای کوچک‌تر بازمی‌گردند. در نتیجه، تخصیص حافظه و کنترل‌های دسترسی در شرایط نادرست انجام می‌شود و عملیات با سطح دسترسی بالاتر از حد انتظار ادامه می­یابد. این رفتار ناخواسته باعث می‌شود مهاجم با سطح دسترسی محدود، توانایی اجرای کد با دسترسی بالا یا تغییر تنظیمات امنیتی را پیدا کند.

بردار آسیب­‌پذیریCVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H نشان می‌دهد مهاجم می‌تواند آن را از راه دور و با کمترین پیچیدگی فنی و تنها با داشتن دسترسی اولیه محدود و درگیر کردن کاربر قربانی فعال کند. این نقص به‌گونه‌ای عمل می‌کند که مرزهای امنیتی میان اجزای مختلف سیستم را تغییر می‌دهد و به مهاجم اجازه می‌دهد دامنه دسترسی خود را فراتر از محدوده اولیه گسترش دهد. نتیجه چنین وضعیتی می‌تواند افشای گسترده اطلاعات حساس، دستکاری یا تخریب داده‌ها و در نهایت از کار انداختن سرویس‌ها باشد که در مجموع تأثیر زیادی بر محرمانگی، یکپارچگی و دسترس‌پذیری سیستم دارد.

نسخه‌های تحت تاثیر

نسخه 25.1.981.6 و تمامی نسخه‌ها قبل از 25.3 تحت تاثیر این آسیب پذیری قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی آنتی ویروس Avast  به نسخه  25.3 و بالاتر که این نقص را برطرف کرده است.

منابع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-3500
• https://www.cvedetails.com/cve/CVE-2025-3500

آسیب‌پذیری CVE-2025-35028 با شدت 9.1، سرور HexStrike AI MCP در ماژول EnhancedCommandExecutor ورودی‌هایی را که از API دریافت می‌کند بدون هیچ‌گونه فیلتر یا پاک‌سازی مستقیماً داخل یک فرمان سیستم‌عامل قرار می‌دهد. مهاجم می‌تواند با قرار دادن آرگومانی که با ؛ (semicolon) آغاز می‌شود، فرمان اصلی را قطع کرده و دستورات دلخواه خود را تزریق و اجرا کند. از آن‌جایی که MCP Server معمولاً با سطح دسترسی root اجرا می‌شود، این نقص منجر به اجرای کد از راه دور (RCE) با بالاترین سطح دسترسی می‌شود. آسیب‌پذیری به احراز هویت نیاز ندارد و یک مهاجم از راه دور می‌تواند تنها با ارسال یک درخواست HTTP آن را سوءاستفاده کند. این موضوع می‌تواند به تسخیر کامل سرور، دستکاری داده‌ها و ایجاد دسترسی پایدار منجر شود. این نقص در نسخه‌های آسیب‌پذیر تا Commit سپتامبر 2025 شناسایی شده است..

محصولات تحت‌تأثیر

• HexStrike AI MCP Server
• نسخه‌های شامل ماژول EnhancedCommandExecutor
• نسخه‌های قبل از Commit آسیب‌پذیر (Commit ID: ‎2f3a5512 – September 2025)
• هر سیستمی که سرور MCP را با سطح دسترسی Root اجرا می‌کند
• سرویس‌ها یا ماژول‌های وابسته که از همان API‌ برای اجرای فرمان‌ها استفاده می‌کنند.

توصیه‌های امنیتی

• به‌روزرسانی فوری HexStrike AI MCP به نسخه‌ای که بعد از Commit آسیب‌پذیر منتشر شده است.
• اعمال فیلتر ورودی‌ها و جلوگیری از کاراکترهای خطرناک مانند ;، &&، | و … در پارامترهای API.
• اجرای سرویس MCP با حداقل سطح دسترسی به جای اجرای آن با حساب root.
• فعال‌سازی احراز هویت برای دسترسی به API های فرمان‌دهی.
• محدود کردن دسترسی شبکه‌ای به MCP و عدم قرار دادن آن در اینترنت بدون محافظت.
• مانیتورینگ لاگ‌ها برای شناسایی ورودی‌های مشکوک که شامل کاراکترهای تزریقی هستند.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-35028

آسیب‌پذیری Privilege Escalation در افزونه وردپرس آسیب‌پذیری CVE-2025-13538 با شدت بحرانی (9.8 از 10) در افزونه وردپرس FindAll Listing شناسایی شده است. این نقص امنیتی ناشی از عدم محدودسازی نقش‌های کاربری در تابع findall_listing_user_registration_additional_params بوده و به مهاجم اجازه می‌دهد در فرآیند ثبت‌نام، نقش کاربری مدیر را انتخاب کند. در نتیجه، مهاجم بدون داشتن هیچ‌گونه سطح دسترسی (PR:N) و از طریق شبکه عمومی (AV:N)، می‌تواند کنترل کامل سایت را به دست گیرد. این حمله بدون نیاز به تعامل کاربر (UI:N) با پیچیدگی پایین (AC:L) در محدوده‌ی بدون تغییر (S:U) قابل اجراست. تأثیر آن بر محرمانگی (C:H) تمامیت داده‌ها (I:H) دسترس‌پذیری (A:H) بسیار بالا ارزیابی شده است.

محصولات آسیب‌پذیر

• نسخه‌های تا 1.0.5 از افزونه FindAll Listing برای وردپرس.
• وب‌سایت‌هایی که افزونه FindAll Membership را نیز فعال کرده‌اند.

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه به نسخه‌ای امن‌تر یا حذف آن در صورت عدم نیاز
• محدودسازی دسترسی به پنل مدیریت وردپرس از طریق فایروال یا VPN
• بررسی دقیق لاگ‌های ثبت‌نام و ورود کاربران برای شناسایی حساب‌های مشکوک
• آموزش تیم‌های توسعه و امنیت درباره کنترل صحیح نقش‌های کاربری و احراز هویت
• اجرای تست‌های نفوذ دوره‌ای برای ارزیابی امنیتی افزونه‌ها و CMS وردپرس

منبع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-13538

افزونه StreamTube Core  همراه قالب StreamTube  است که امکانات حرفه‌ای برای ساخت سایت شبیه یوتیوب فراهم می‌کند.
این افزونه مدیریت و آپلود ویدیو، ایجاد کانال کاربری، پخش ویدیو و امکانات تعامل مانند لایک و دنبال‌کردن را ارائه می­کند.

در نسخه 4.74 و قبل آن این افزونه یک آسیب‌پذیری تغییر دلخواه رمز عبور کاربران وجود دارد. این مشکل به دلیل دسترسی کنترل‌نشده‌ کاربر به برخی بخش‌ها رخ می‌دهد و باعث می‌شود مهاجم بتواند بدون احراز هویت از مجوزها عبور کرده و به منابع سیستم دسترسی پیدا کند.
به همین دلیل، یک مهاجم غیرمجاز می‌تواند رمز عبور کاربران – حتی مدیر سایت – را تغییر داده و احتمالاً کنترل حساب را به دست بگیرد.

نکته: این ضعف امنیتی فقط زمانی قابل سوءاستفاده است که گزینه‌ registration password fields در تنظیمات پوسته فعال شده باشد.

محصولات آسیب‌پذیر

نسخه‌های 4.74 و قبل آن

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت استفاده از این افزونه آن را به نسخه 4.79 به­روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-13615

افزونه   CIBELES AI در وردپرس در تمامی نسخه‌های ۱.۱۰.۸ و  قبل از آن به دلیل نبود بررسی سطح دسترسی در فایل actualizador_git.php  دچار آسیب‌پذیری آپلود فایل دلخواه است.
این نقص باعث می‌شود مهاجمان بدون نیاز به احراز هویت بتوانند مخازن دلخواه GitHub را دانلود کرده و فایل‌های افزونه را روی سرور سایت قربانی بازنویسی کنند. این امر می‌تواند در نهایت امکان اجرای کد از راه دور را فراهم کند.

فایل   CVE-2025-13595.pyنشان می­دهد چگونه یک مهاجم از راه دور می‌تواند فایل shell.php را آپلود کرده و کد را از راه دور اجرا کند.

آسیب‌پذیری در مسیر زیر وجود دارد:

/wp-content/plugins/cibeles-ai/actualizador_git.php

این فایل یک سیستم Mirror کردن مخزن GitHub را پیاده‌سازی می‌کند که به‌صورت مستقیم از طریق HTTP و بدون هیچ‌گونه کنترل امنیتی قابل دسترسی است.
فایل فاقد بررسی استاندارد وردپرس  ABSPATH است. if (!defined('ABSPATH')) exit; که وظیفه جلوگیری از دسترسی مستقیم از طریق HTTP را دارد.
پارامترها نیز مستقیماً بدون هیچ‌گونه اعتبارسنجی از  $_GET خوانده می‌شوند.

تنها بررسی انجام‌شده این است که آیا توکن خالی است یا مقدار پیش‌فرض دارد. هیچ‌گونه احراز هویت یا مجوزدهی انجام نمی‌شود:

اسکریپت یک فایل ZIP را از  API گیت‌هاب دانلود می‌کند و برای این کار از پارامترهایی استفاده می‌کند که کامل تحت کنترل کاربر هستند:

تابع  curl_download() توکن را در هدر   Authorization ارسال می‌کند، اما هیچ‌گونه اعتبارسنجی درباره مالک مخزن یا محتوای آن انجام نمی‌دهد. فایل  ZIPدانلودشده استخراج می‌شود و فایل‌ها مستقیماً به دایرکتوری افزونه کپی می‌شوند:

تابع  rrcopy_into()  همه فایل‌ها را از مخزن استخراج‌شده به‌صورت بازگشتی به دایرکتوری جاری (دایرکتوری افزونه) کپی می‌کند و فایل‌های موجود را بازنویسی می‌کند. فایل‌هایی که در مخزن دانلودشده وجود ندارند، حذف می‌شوند:

تابع mirror_delete_extras()  هر فایلی را در دایرکتوری افزونه که در فهرست مخزن وجود ندارد، حذف می‌کند.

محصولات آسیب‌پذیر

نسخه‌های ۱.۱۰.۸ و قبل آن

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت استفاده از این افزونه آن را به نسخه 1.10.9 و بالاتر به­روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-13595
• https://github.com/d0n601/CVE-2025-13595

آسیب‌پذیری CVE-2025-59373 (با شدت 8.5 از 10) یک نقص امنیتی از نوع=Elevation of Privilege در سطح محلی است که به مهاجم اجازه می‌دهد با دسترسی محدود (PR:L) و بدون نیاز به تعامل کاربر (UI:N) کنترل کامل بر سیستم هدف به دست آورد. این حمله تنها در محیط محلی قابل بهره‌برداری است (AV:L)، پیچیدگی حمله پایین است (AC:L) و نیازی به تکنیک‌های خاص یا تعاملات پیچیده ندارد (AT:N). این آسیب‌پذیری باعث می‌شود محرمانگی، یکپارچگی و دسترس‌پذیری سیستم به شدت آسیب ببیند (VC:H/VI:H/VA:H) و در عین حال اثر آن محدود به همان مؤلفه هدف باقی می‌ماند (SC:N/SI:N/SA:N).

محصولات آسیب‌پذیر

لپ‌تاپ‌های ASUS مجهز به نرم‌افزار MyASUS.

سیستم‌هایی که ASUS System Control Interface (SCI) را برای مدیریت تنظیمات سخت‌افزاری و نرم‌افزاری اجرا می‌کنند

ایستگاه‌های کاری و سرورهای ASUS در صورتی که ماژول SCI یا ابزارهای وابسته نصب باشند.

محیط‌های سازمانی که کاربران غیرمدیر امکان کپی فایل در مسیرهای محافظت‌شده سیستم دارند.

توصیه‌های امنیتی

• نصب فوری اصلاحیه‌های امنیتی ارائه‌شده توسط تولیدکننده نرم‌افزار یا سیستم‌عامل
• محدودسازی دسترسی کاربران غیرمدیر و بررسی نقش‌ها و مجوزها در سطح سیستم
• استفاده از ابزارهای مانیتورینگ و SIEM برای شناسایی فعالیت‌های مشکوک در سطح محلی
• اجرای تست نفوذ داخلی
• آموزش کاربران و اعمال سیاست‌های سخت‌گیرانه برای جلوگیری از اجرای کدهای ناشناس در سیستم

منبع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-59373

آسیب‌پذیری CVE-2025-66022 با شدت 9.6  یک نقص بسیار جدی در چارچوب FACTION است که پیش از نسخه 1.7.1 وجود دارد و به مهاجم اجازه می‌دهد بدون هیچ‌گونه احراز هویت، یک افزونه مخرب را از طریق مسیر /portal/AppStoreDashboard در سرور بارگذاری کند. این ضعف به دلیل نبود بررسی دسترسی روی رابط مدیریت افزونه‌ها رخ می‌دهد و باعث می‌شود هر کاربر غیرمعتبر بتواند به بخش مدیریت Extensions وارد شود. پس از بارگذاری افزونه، FACTION در زمان اجرای lifecycle hook آن افزونه، کد آن را مستقیماً روی سیستم میزبان اجرا می‌کند؛ بنابراین مهاجم قادر به اجرای دستورات دلخواه سیستم‌عامل و در نتیجه دستیابی به Remote Code Execution)RCE) خواهد بود. این موضوع می‌تواند به کنترل کامل سرور، سرقت داده‌ها، تغییر گزارش‌ها، یا ایجاد دسترسی پایدار منجر شود. این آسیب‌پذیری در نسخه 1.7.1 اصلاح شده و نسخه‌های قبلی در معرض خطر کامل هستند.

محصولات تحت‌تأثیر

• FACTION – PenTesting Report Generation & Collaboration Framework
• نسخه‌های آسیب‌پذیر: تمام نسخه‌ها قبل از 1.7.1
• نسخه امن: 1.7.1 و بالاتر.

توصیه‌های امنیتی

• به‌روزرسانی فوری FACTION به نسخه 1.7.1 یا بالاتر (نسخه‌ای که مشکل در آن پچ شده است).
• غیرفعال کردن دسترسی عمومی به مسیر /portal/AppStoreDashboard از طریق فایروال، WAF یا تنظیمات Reverse Proxy.
• بررسی افزونه‌های نصب‌شده و حذف هر افزونه ناشناس یا مشکوک که احتمالاً توسط مهاجم بارگذاری شده است.
• بازبینی کامل لاگ‌های دسترسی و بارگذاری فایل برای شناسایی تلاش‌های سوءاستفاده یا آپلودهای غیرمجاز.
• ایزوله‌سازی (Sandboxing) یا محدودسازی سطح دسترسی سرویس FACTION در سیستم‌عامل برای کاهش اثر اجرای دستورات احتمالی.
• فعال‌سازی احراز هویت اجباری برای تمام APIها و رابط‌های مدیریتی در محیط سرور.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-66022

آسیب‌پذیری CVE-2025-13559 با شدت 9.8 یک نقص جدی در افزونه EduKart Pro برای وردپرس است که در نسخه‌های تا 1.0.3 مشاهده می‌شود و به دلیل عدم محدودسازی نقش‌های قابل انتخاب هنگام ثبت‌نام رخ می‌دهد. تابع edukart_pro_register_user_front_end بدون هیچ‌گونه کنترل امنیتی، اجازه می‌دهد کاربر نقش دلخواه—including administrator—را در درخواست ثبت‌نام ارسال کند. این ضعف باعث می‌شود یک مهاجم غیرمعتبر و بدون احراز هویت بتواند تنها با ارسال یک درخواست HTTP، حسابی با دسترسی مدیر ایجاد کند. با دستیابی به نقش Administrator، مهاجم قادر است کنترل کامل وب‌سایت را در دست گیرد، فایل‌ها را تغییر دهد، افزونه‌ها و قالب‌ها را دستکاری کند، حساب‌ها را حذف کند یا بدافزار و بک‌دور نصب نماید. این مسئله می‌تواند به تصرف کامل سایت، نشت داده‌ها و تداوم حضور مهاجم منجر شود. به‌دلیل سهولت بهره‌برداری و پیامدهای بحرانی، این آسیب‌پذیری در رده‌ی بحرانی (Critical) قرار می‌گیرد.

 محصولات تحت‌تأثیر

• افزونه EduKart Pro برای وردپرس (نسخه‌ها تا و شامل 1.0.3)
• وب‌سایت‌های وردپرسی که این افزونه را نصب کرده‌اند و از عملکرد ثبت‌نام (Registration) در سمت کاربر استفاده می‌کنند.

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه EduKart Pro به آخرین نسخه منتشرشده یا حذف آن در صورت نبود پچ.
• غیرفعال کردن امکان ثبت‌نام کاربران تا رفع کامل آسیب‌پذیری.
• بررسی نقش‌های کاربری موجود و حذف یا اصلاح حساب‌هایی که مشکوک یا غیرمنتظره هستند.
• فعال‌سازی احراز هویت چندمرحله‌ای (2FA) برای حساب مدیر.
• بررسی کامل لاگ‌ها برای تشخیص ثبت‌نام‌های مشکوک با نقش‌های بالا.
• استفاده از پلاگین‌های امنیتی وردپرس جهت جلوگیری از ساخت حساب‌های غیرمجاز (مانند Wordfence / iThemes Security).
• محدودسازی دسترسی به endpoint ثبت‌نام یا استفاده از کپچا جهت جلوگیری از سوءاستفاده خودکار.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-13559

پلاگین‌های ورودی  Fluent Bit شامل  in_http،   in_splunk و in_elasticsearch  در پردازش مقدار tag_key  موفق به پاک‌سازی ورودی نمی‌شوند. مهاجم با دسترسی شبکه یا توانایی نوشتن رکورد در  Splunk یا Elasticsearch  می‌تواند مقادیر tag_key  حاوی کاراکترهای خاص مانند خط جدید یا `../` ارسال کند که به‌عنوان تگ معتبر پردازش می‌شوند. 

از آنجا که تگ‌ها بر مسیریابی تأثیر می‌گذارند و برخی خروجی‌ها نام فایل یا محتوای خود را از تگ‌ها تولید می‌کنند، این مشکل می‌تواند منجر به تزریق خط جدید، Path Traversal، تزریق رکورد جعلی یا مسیریابی نادرست لاگ شود. در نتیجه، این نقص بر یکپارچگی داده و مسیریابی لاگ تأثیر می‌گذارد.

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت استفاده از Fluent Bit آن را به نسخه 4.1.0 به­ روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-12977