آسیب‌پذیری CVE-2025-53967 یک نقص امنیتی با شدت بالا (8 از 10) در نسخه‌ های سامانه Framelink Figma MCP Server است که به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت و تعامل کاربر، از طریق شبکه مجاور (AV:A) و با پیچیدگی بالا (AC:H)، درخواست HTTP POST حاوی کاراکترهای meta shell ارسال کرده و دستورات سیستم‌عامل را از راه دور اجرا کند؛ این حمله به دلیل عدم پاک‌ سازی مناسب ورودی‌ ها در تابع fetchWithRetry که از curl استفاده می‌کند، رخ می‌دهد و می‌تواند منجر به افشای اطلاعات حساس (C:H)، دستکاری داده‌ها (I:H)، و گسترش تأثیر فراتر از مؤلفه آسیب‌پذیر (S:C) شود، بدون آن‌که در دسترسی‌پذیری سیستم اختلالی ایجاد کند (A:N).

محصولات آسیب‌پذیر

•  Framelink Figma MCP Server نسخه‌های قبل از 0.6.3

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخه 0.6.3 یا بالاتر
• محدودسازی دسترسی شبکه‌ای به رابط MCP فقط از طریق شبکه‌های امن
• اجرای تست‌های نفوذ دوره‌ای برای شناسایی نقاط آسیب‌پذیر مشابه
• نظارت بر لاگ‌های سیستم برای تشخیص فعالیت‌های مشکوک
• آموزش تیم‌های فنی درباره خطرات تزریق دستورات و اعتبارسنجی ورودی‌ها

منبع خبر

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53967

آسیب‌پذیری CVE-2025-6439 باشدت 9.8  یک نقص بحرانی در پلاگین Ovatheme Events Manager وردپرس است که به دلیل نبود اعتبارسنجی نوع فایل در تابع process_checkout() ایجاد شده است. این ضعف باعث می‌شود مهاجمان بدون نیاز به احراز هویت بتوانند فایل‌های دلخواه خود (مانند فایل‌های PHP مخرب) را در سرور آپلود کنند. در نتیجه، در صورت اجرای فایل آپلودشده، مهاجم قادر به اجرای کد از راه دور (Remote Code Execution) و در نهایت کنترل کامل وب‌سایت خواهد بود. این آسیب‌پذیری تمامی نسخه‌های پلاگین تا نسخه 1.8.5 را تحت تأثیر قرار می‌دهد. با بهره‌برداری از این نقص، مهاجم می‌تواند داده‌های حساس را مشاهده، تغییر یا حذف کند.

توصیه می‌شود کاربران هرچه سریع‌تر پلاگین را به آخرین نسخه به‌روزرسانی کرده و محدودیت‌های امنیتی لازم برای آپلود فایل را فعال کنند.

محصولات تحت تاثیر

• Ovatheme Events Manager → نسخه‌های ≤ 1.8.5.

توصیه های امنیتی

• به‌روزرسانی فوری پلاگین Ovatheme Events Manager به آخرین نسخه منتشرشده توسط توسعه‌دهنده.
• محدود کردن مجوز آپلود فایل‌ها فقط به کاربران احراز هویت‌شده.
• اعمال فیلتر نوع MIME و پسوند فایل‌ها در سطح سرور یا وردپرس.
• نظارت بر پوشه uploads برای شناسایی فایل‌های مشکوک.
• استفاده از افزونه‌های امنیتی وردپرس مانند Wordfence یا iThemes Security برای اسکن و جلوگیری از بارگذاری کدهای مخرب.
• پشتیبان‌گیری منظم (Backup) از فایل‌ها و پایگاه داده برای بازیابی سریع در صورت نفوذ.

منبع خبر:

 [1]https://nvd.nist.gov/vuln/detail/CVE-2025-6439

یک نقص در دستگاه D-Link DI-7100G C1 نسخه 20250928 ایجاد شده است. این آسیب‌پذیری مؤلفه jhttpd   تابع sub_4C0990 در فایل /webchat/login.cgi  را تحت تأثیر قرار می‌دهد. دستکاری آرگومان  openid می‌تواند منجر به سرریز بافر شود. امکان اجرای حمله به‌صورت از راه دور وجود دارد. اکسپلویت به صورت عمومی منتشر شده و ممکن است مورد استفاده قرار گیرد.

همانطور که مشاهده می­شود یک فراخوانی به  sprintf وجود دارد. این تابع طول رشته قالب‌بندی‌شده را محدود نمی‌کند و زمانی که رشته خیلی طولانی شود منجر به سرریز می‌شود. متغیر v6 محل/نقطه‌ای است که سرریز در آن رخ می‌دهد.

متغیر  v6 همان پارامتر  openid است که از طریق GET ارسال می‌شود، بنابراین می‌توانیم داده‌ای طولانی به  openid بفرستیم تا باعث مشکل سرریز بافر شود.

منبع:

• https://nvd.nist.gov/vuln/detail/CVE-2025-11338
• https://www.yuque.com/jh0ng/vmpda6/kggo2ngrcphzvwml

آسیب‌پذیری CVE-2025-61882 با شدت 9.8 (Critical) در Oracle E-Business Suite شناسایی شده است. این نقص امکان اجرای کد از راه دور (RCE) را بدون نیاز به احراز هویت فراهم می‌کند؛ در نتیجه مهاجم می‌تواند از طریق شبکه و بدون دسترسی قبلی به سیستم به آن نفوذ کند. اوراکل برای مقابله با این آسیب‌پذیری یک Security Alert منتشر کرده و وصله‌های مربوطه را ارائه داده است. همچنین گزارش شده که این نقص ممکن است در حملات اخاذی اخیر علیه مشتریان E-Business Suite مورد سوءاستفاده قرار گرفته باشد.

محصولات تحت‌تأثیر

• Oracle E-Business Suite — نسخه‌های 12.2.3 تا 12.2.14 تحت تأثیر قرار دارند.
• مؤلفه‌ اصلی آسیب‌پذیر: BI Publisher Integration / Concurrent Processing.
• ممکن است نسخه‌های قدیمی‌تر از 12.2.3 نیز در معرض خطر باشند، هرچند اوراکل پشتیبانی رسمی برای آن‌ها اعلام نکرده است.

توصیه‌های امنیتی

• اعمال فوری وصله‌ها: اوراکل یک Security Alert و وصله‌ منتشر کرده است؛ این وصله‌ها باید فوراً در همهٔ محیط‌های آسیب‌پذیر نصب شوند.
• نظارت بر نشانگرهای نفوذ (IOCs): از فهرست IOCهای منتشرشده توسط اوراکل (شامل آدرس‌های IP مشکوک، دستورات مشاهده‌شده و فایل‌های مخرب) برای شناسایی و شکار تهدید استفاده کنید.
• تقویت لایهٔ دفاعی شبکه: دسترسی به سامانه‌های E-Business Suite را به شبکه‌ها یا آدرس‌های IP مورد اعتماد محدود کنید؛ پیکربندی فایروال‌ها، ACLها و فیلترهای ورودی را بازبینی و تقویت نمایید.
• امن‌سازی تنظیمات BI Publisher و ماژول‌های مرتبط: تنظیمات پیش‌فرض یا ناایمن را اصلاح کنید و سطح دسترسی سرویس‌ها را به حداقل لازم کاهش دهید.
• بازنگری و بررسی لاگ‌ها: لاگ‌های فعالیت، لاگ‌های اجرای پردازش‌های concurrent و هرگونه رفتار غیرعادی را فوراً بررسی کنید.
• اجرای برنامهٔ واکنش به حادثه: در صورت شواهد نفوذ، اقدامات واکنشی شامل ایزوله‌سازی سیستم‌های آلوده، بازیابی از پشتیبان‌های مطمئن، چرخش کلیدها/کریدنشیال‌ها و تحلیل علّی انجام شود.
• اطلاع‌رسانی و آموزش: تیم‌های فنی و امنیتی را نسبت به نحوه شناسایی و مقابله با این تهدید آگاه کنید و در صورت نیاز کاربران و ذینفعان را مطلع سازید.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-61882

آسیب‌پذیری CVE-2025-9485 با شدت 9.8 (بحرانی) در افزونه‌ی OAuth Single Sign On – SSO (OAuth Client) برای وردپرس تا نسخه‌ی 6.26.12 شناسایی شده است.
این نقص به‌دلیل پردازش ناایمن توکن‌های JWT در تابع get_resource_owner_from_id_token رخ می‌دهد، جایی که امضای رمزنگاری‌شده‌ی توکن‌ها به‌درستی بررسی یا تأیید نمی‌شود. در نتیجه، مهاجم می‌تواند با ساخت توکن جعلی، فرآیند احراز هویت را دور بزند و بدون داشتن اطلاعات ورود معتبر، وارد حساب کاربری سایر کاربران شود.

در برخی پیکربندی‌ها، این آسیب‌پذیری حتی می‌تواند دسترسی به حساب‌های مدیریتی (Administrator) را ممکن سازد یا اجازه‌ی ایجاد حساب‌های جدید با سطح کاربری Subscriber را بدهد. این نقص تهدیدی جدی برای محرمانگی، صحت و دسترس‌پذیری داده‌ها در سایت‌های وردپرسی محسوب می‌شود و می‌تواند منجر به سرقت اطلاعات، تغییر تنظیمات یا حذف داده‌ها شود.

محصولات تحت‌تأثیر

• افزونه‌ی OAuth Single Sign On – SSO (OAuth Client) برای WordPress
• تمامی نسخه‌ها تا 6.26.12 (نسخه‌های پایین‌تر از 6.26.13 در معرض خطر هستند)
• وب‌سایت‌های وردپرسی که از این افزونه برای ورود با حساب‌های خارجی (مانند Google، Microsoft، GitHub و ...) استفاده می‌کنند.

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه به نسخه‌ی 6.26.13 یا بالاتر، جهت رفع نقص در بررسی امضای JWT.
• تغییر تمامی JWT Tokenها، API Keyها و Secret Keyها پس از به‌روزرسانی.
• بررسی حساب‌های کاربری برای شناسایی ورودها و دسترسی‌های غیرمجاز احتمالی.
• بازبینی لاگ‌های امنیتی و تاریخچه‌ی ورود کاربران جهت کشف رفتارهای مشکوک.
• محدود کردن دسترسی به مسیرهای احراز هویت OAuth فقط برای دامنه‌ها و منابع قابل اعتماد.
• فعال‌سازی احراز هویت دومرحله‌ای (2FA) برای مدیران و کاربران حساس.
• استفاده از افزونه‌های امنیتی مانند Wordfence یا iThemes Security برای مانیتورینگ و جلوگیری از حملات مشابه.
• پشتیبان‌گیری منظم از وب‌سایت و پایگاه‌داده پیش از انجام تغییرات امنیتی.
• آموزش مدیران سایت برای تشخیص توکن‌های جعلی و رفتارهای غیرعادی در سیستم ورود.

منبع خبر:

[1]https://www.tenable.com/cve/CVE-2025-9485

Redis یک پایگاه‌دادهٔ متن‌باز درون‌حافظه‌ای است که قابلیت ذخیره‌سازی روی دیسک را نیز دارد. در نسخهٔ 8.2.1 و نسخه‌های قدیمی‌تر، یک نقص امنیتی وجود دارد که به کاربر احراز هویت‌شده امکان می‌دهد با ارسال یک اسکریپت Lua دستکاری‌شده، رفتار garbage collector را تغییر دهد. این رفتار می‌تواند منجر به بروز use-after-free شود که در نهایت ممکن است به اجرای کد از راه دور (RCE) بیانجامد. این مشکل در تمام نسخه‌های Redis که از اسکریپت‌نویسی Lua پشتیبانی می‌کنند مشاهده شده است.

محصولات آسیب‌پذیر

• Redis نسخهٔ 8.2.1 و نسخه‌های قبل از آن.

توصیه‌های امنیتی

• به‌روزرسانی فوری: Redis را به نسخهٔ 8.2.2 یا نسخهٔ امن‌تر که وصلهٔ مربوطه را شامل می‌شود ارتقاء دهید.
• راهکار موقت (در صورت عدم امکان به‌روزرسانی سریع): اجرای اسکریپت‌های Lua را برای کاربران غیرمجاز مسدود کنید. این کار را می‌توان با استفاده از ACL و محدود کردن دستورات EVAL و EVALSHA انجام داد تا تنها کاربران مورد اعتماد اجازهٔ اجرای اسکریپت داشته باشند یا اجرای اسکریپت کاملاً غیرفعال شود.
• محدودسازی دسترسی و اصول کمترین امتیاز: دسترسی به سرور Redis را تنها به شبکه‌ها و سرویس‌های موردنیاز محدود کنید و حساب‌های کاربری را با حداقل امتیازات ممکن پیکربندی نمایید.
• نظارت و بررسی لاگ‌ها: به‌دنبال رفتارهای مشکوک مربوط به اجرای اسکریپت‌ها، فراخوانی‌های غیرمعمول EVAL/EVALSHA و خطاهای حافظه بگردید. در صورت مشاهدهٔ نشانهٔ نفوذ، اقدامات بازیابی (مثل چرخش کلیدها، بازیابی از پشتیبان معتبر و بررسی یکپارچگی داده‌ها) را انجام دهید.
• آزمون و بررسی ایمنی: پس از به‌روزرسانی، تست‌های امنیتی و بررسی‌های مربوط به اسکریپت‌نویسی Lua را اجرا کنید تا از رفع مشکل اطمینان حاصل شود.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-49844

آسیب‌پذیری CVE-2025-61588 با شدت 9.3 (Critical) در پلتفرم RISC Zero شناسایی شده است. RISC Zero بر پایه zk-STARKs و معماری RISC-V توسعه یافته و این نقص در فراخوان سیستمی sys_read رخ می‌دهد. مهاجم میزبان می‌تواند با ارسال پاسخ ساختگی، داده‌ها را در حافظهٔ مهمان بازنویسی کند و در نتیجه اجرای کد دلخواه روی مهمان رخ دهد.

این رخداد منجر به نقض کامل ایمنی حافظه شده و همهٔ برنامه‌های ساخته‌شده با نسخه‌های آسیب‌پذیر را در معرض حمله قرار می‌دهد. پیامدهای احتمالی شامل اجرای کد دلخواه، نقض محرمانگی و یکپارچگی داده‌ها و از بین رفتن تضمین‌های رمزنگاری در مدل «قابل اثبات» (verifiable computing) است. این نقص می‌تواند اعتماد کلی به مدل محاسبات دانش‌صفر را تضعیف کند.

محصولات تحت‌تأثیر

این آسیب‌پذیری چندین ماژول اصلی RISC Zero را در بر می‌گیرد:

• risc0-zkvm-platform — همه‌ی نسخه‌های 2.0.2 و پایین‌تر
• risc0-aggregation — همه‌ی نسخه‌های 0.9 و پایین‌تر
• risc0-zkos-v1compat — همه‌ی نسخه‌های 2.1.0 و پایین‌تر
• risc0-zkvm — نسخه‌های بین 3.0.0-rc.1 تا 3.0.1

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخه‌های امن:

  • risc0-zkvm-platform → 2.1.0 یا بالاتر

  • risc0-zkos-v1compat → 2.1.0 یا بالاتر

  • risc0-aggregation → نسخه‌ای بالاتر از 0.9 (مطابق توصیه‌های رسمی)

  • risc0-zkvm → 3.0.3 (یا نسخهٔ توصیه‌شدهٔ امن، در بعضی یادداشت‌ها 2.3.2 نیز ذکر شده است — از نسخهٔ رسمی وصله پیروی کنید).

• ایزوله‌سازی محیط اجرا: استفاده از sandboxing یا containerization برای محدودکردن آسیب در صورت بهره‌برداری.

• آزمایش‌های حافظه و fuzzing: اجرای fuzzing و تست‌های مربوط به memory-safety روی کدهای zkVM برای کشف خطاهای مشابه.

• اصل حداقل امتیاز (Least Privilege): کاهش سطح دسترسی میزبان به داده‌ها و منابع مهمان.

• مانیتورینگ و لاگ‌برداری: فعال‌سازی و پایش لاگ‌های امنیتی برای شناسایی رفتارهای مشکوک در zkVM.

• بازبینی کد و تست پیش‌انتشار: کدنویسی ایمن، مرور کد و انجام تست‌های امنیتی قبل از انتشار نسخه‌های جدید.

منبع خبر:

[1]https://www.tenable.com/cve/CVE-2025-61588

pyfory یک چارچوب سریالی‌سازی چندزبانه است که امکان تبدیل ساختارهای داده به بایت‌ها و بازسازی آن‌ها را فراهم می‌کند. اخیراً یک نقص امنیتی حیاتی با شناسه CVE-2025-61622 و شدت 9.8 در کتابخانهٔ pyfory (و نسخه‌های قدیمی‌تر آن که تحت نام pyfury منتشر شده‌اند) شناسایی شده است. این آسیب‌پذیری در فرآیند بازسازی (deserialization) داده‌ها از حالت سریالی رخ می‌دهد و در صورت استفاده از داده‌های ناامن می‌تواند منجر به اجرای کد از راه دور (RCE) شود.

جزئیات آسیب‌پذیری

در نسخه‌های آسیب‌پذیر کتابخانهٔ pyfory/pyfury، هنگام بازگردانی داده‌ها از فرمت باینری، اگر ورودی (دادهٔ سریالی‌شده) از منبعی ناامن تامین شود، مهاجم می‌تواند ساختار بایت‌ها را طوری بسازد که کتابخانه مسیر بازسازی را به سمت گزینهٔ پشتیبان «خطرناک» هدایت کند. در این نقطه، کتابخانه تابع ()pickle.loads را اجرا می‌کند. از آن‌جا که این گزینهٔ پشتیبان قادر است در زمان بارگذاری اشیاء اجرای کد دلخواه را انجام دهد، سوءاستفاده از این وضعیت می‌تواند به اجرای کد مخرب روی سرور منجر شود.

بردار حمله (CVSS 3.1): AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان می‌دهد این آسیب‌پذیری:

• قابل بهره‌برداری از راه دور است (AV:N)،
• پیچیدگی بهره‌برداری پایین است (AC:L)،
• نیازمند هیچ‌گونه احراز هویتی نیست (PR:N)،
• نیازی به تعامل کاربر ندارد (UI:N)،
• تأثیر شدید بر محرمانگی، یکپارچگی و دسترس‌پذیری دارد (C:H / I:H / A:H).

بهره‌برداری موفق می‌تواند منجر به افشای اطلاعات حساس، تغییر یا تخریب داده‌ها و حتی از کار افتادن کامل سرویس شود.

نسخه‌های تحت‌تأثیر

• pyfory: نسخه‌های 0.12.0 تا 0.12.2
• pyfury: نسخه‌های 0.1.0 تا 0.10.3

توصیه‌های امنیتی

• ارتقاء فوری: به‌روزرسانی به نسخهٔ امن pyfory 0.12.3 یا نسخه‌های بالاتر.
• عدم پذیرش داده‌های سریالی‌شده از منابع ناامن: هرگز داده‌های سریالی‌شده را از منابع ناشناس یا غیرقابل اعتماد بازنویسی نکنید.
• در صورت نیاز به پردازش ورودی‌های سریالی‌شده از منابع بیرونی، از مکانیزم‌های امن مانند فیلترسازی ساختار، whitelist کردن نوع اشیاء مجاز یا استفاده از فرمت‌های سریالی‌سازی امن‌تر (که اجرای کد را هنگام deserialize امکان‌پذیر نکنند) بهره ببرید.
• پس از رفع مشکل، بررسی لاگ‌ها برای شواهد نفوذ و در صورت لزوم چرخش کلیدها/اعتبارات حساس را انجام دهید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-61622

[2]https://www.cve.org/CVERecord?id=CVE-2025-61622

[3]https://lists.apache.org/thread/vfn9hp9qt06db5yo1gmj3l114o3o2csd

[4]https://euvd.enisa.europa.eu/vulnerability/CVE-2025-61622

افزونه‌ی Copypress Rest API برای وردپرس قابلیت‌های API REST را گسترش می‌دهد و امکان مدیریت پست‌ها، دسته‌ها، برچسب‌ها و نوع‌های پست سفارشی را از طریق endpointهای اختصاصی فراهم می‌کند.

در نسخه‌های 1.1 تا 1.2 این افزونه یک آسیب‌پذیری جدی وجود دارد که می‌تواند منجر به اجرای کد از راه دور (RCE) شود. این مشکل از طریق تابع ()copyreap_handle_image رخ می‌دهد و ناشی از دو ضعف اصلی است:

1. در صورت نبودن مقدار secret، افزونه به یک کلید امضای JWT هاردکد‌شده بازمی‌گردد،
2. افزونه محدودیتی در نوع فایل‌های قابل بازیابی و ذخیره به‌عنوان پیوست اعمال نمی‌کند.

ترکیب این دو ضعف به مهاجم این امکان را می‌دهد که یک توکن JWT معتبر بسازد یا جعل کند (بدون نیاز به secret واقعی)، امتیازات بالاتر کسب کند و سپس از طریق هندلر تصویر، هر فایل دلخواهی — از جمله یک اسکریپت PHP — را آپلود نماید که در نهایت می‌تواند به اجرای کد دلخواه روی سرور منجر شود.

محصولات آسیب‌پذیر

• افزونه‌ی Copypress Rest API نسخه‌های 1.1 تا 1.2

توصیه‌های امنیتی

• به‌روزرسانی فوری: در صورت انتشار وصله یا نسخه‌ای امن از سوی توسعه‌دهنده، افزونه را فوراً به‌روزرسانی کنید.

• تا زمان رفع کامل مشکل، پیاده‌سازی تدابیر موقت از قبیل:

  • غیرفعال‌سازی endpointهای REST مرتبط با آپلود تصویر برای کاربران ناشناس،

  • اعمال بررسی‌های سروری سخت‌گیرانه روی نوع فایل‌ها (MIME type و بررسی پسوند) و جلوگیری از آپلود فایل‌های اجرایی،

  • اضافه کردن یا تنظیم مقدار secret درست و امن برای امضای JWT.

• پس از به‌روزرسانی، بازبینی لیست کاربران و توکن‌ها و چرخش (rotation) هر کلید/توکن مشکوک توصیه می‌شود.

• افزودن لایه‌های امنیتی مانند WAF و بررسی لاگ‌ها جهت شناسایی تلاش‌های غیرمجاز برای آپلود یا استفاده از توکن‌های جعلی.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8625

آسیب‌پذیری CVE-2025-57266 با شدت 9.8 از 10 در چارچوب وبلاگی ThriveX نسخه‌های 2.5.9 تا 3.1.3 شناسایی شده است.
این نقص در فایل AssistantController.java و به‌طور مشخص در مسیر /api/assistant/list وجود دارد و به مهاجمان غیرمجاز اجازه می‌دهد بدون نیاز به احراز هویت به اطلاعات حساس از جمله کلیدهای API دسترسی پیدا کنند.

علت اصلی این مشکل، نبود کنترل دسترسی و اعتبارسنجی مناسب برای درخواست‌های ورودی است. در صورت بهره‌برداری، مهاجم می‌تواند از داده‌های افشاشده برای انجام حملاتی مانند جعل هویت، سوءاستفاده از سرویس‌های متصل، یا دور زدن مکانیزم‌های امنیتی استفاده کند.
این آسیب‌پذیری محرمانگی سیستم را به‌شدت تحت تأثیر قرار می‌دهد و احتمال نقض یکپارچگی داده‌ها را افزایش می‌دهد.

رفع این نقص در نسخه‌های جدیدتر انجام شده و توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقای نسخه و فعال‌سازی مکانیزم‌های امنیتی تکمیلی اقدام کنند.

محصولات تحت‌تأثیر

• ThriveX Blogging Framework نسخه‌های 2.5.9 تا 3.1.3
• هر سامانه، وب‌سایت یا سرویسی که بر پایهٔ این چارچوب توسعه یافته و از ماژول AssistantController یا مسیر /api/assistant/list استفاده می‌کند.

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخهٔ امن (پس از 3.1.3 یا آخرین نسخهٔ پایدار منتشرشده)
• اعمال کنترل دسترسی سخت‌گیرانه بر تمام endpointهای API و اطمینان از نیاز به احراز هویت برای دسترسی به داده‌های حساس
• چرخش کلیدهای API و بازتولید توکن‌های امنیتی در صورت احتمال افشای اطلاعات
• فعال‌سازی لاگ‌برداری و مانیتورینگ جهت شناسایی درخواست‌های مشکوک یا غیرمجاز به مسیر /api/assistant/list
• اعمال محدودیت‌های شبکه‌ای مانند فایروال یا API Gateway برای جلوگیری از دسترسی مستقیم غیرمجاز به APIها

منبع خبر:

[1]https://www.tenable.com/cve/CVE-2025-57266