نرم‌افزار TYPO3 یک سیستم مدیریت محتوای متن‌باز است. اخیراً روی این نرم‌افزار آسیب‌پذیری با شناسه CVE-2024-55924 و شدت 8 شناسایی شده است. این نقص در رابط کاربری مدیریت رخ داده است و در دسته‌بندی حملات CSRF قرار می‌گیرد. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به تغییرات غیرمجاز در داده‌ها از طریق تعامل قربانی با یک URL مخرب شود.

جزئیات آسیب‌پذیری

این آسیب‌پذیری به دلیل نقص در اعتبارسنجی درخواست‌های HTTP ایجاد شده است. کامپوننت‌های وابسته به اشتباه درخواست‌های تغییر وضعیت را از طریق HTTP GET نیز قبول می‌نمایند. این نقص به مهاجمان اجازه می‌دهد با ارسال لینک‌های مخرب، کاربرانی که دارای جلسات فعال در سیستم هستند را هدف قرار دهند.

شرایط بهره‌برداری:

• کاربر باید دارای یک جلسه فعال در رابط کاربری بخش مدیریت TYPO3 باشد.
• کاربر باید با یک URL مخرب تعامل داشته باشد. این تعامل می‌تواند شامل بازدید از یک وب‌سایت آلوده یا کلیک روی لینکی که از طریق ایمیل مخرب ارسال شده است باشد.

شرایطی که احتمال وقوع این آسیب‌پذیری را تشدید می‌کند:

• غیرفعال بودن تنظیم security.backend.enforceReferrer
• تنظیم BE/cookieSameSite به حالت lax یا none

بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H نشان می‌دهد که حمله از راه دور با پیچیدگی کم و نیازمند تعامل با کاربر است. بهره‌برداری از این آسیب‌پذیری محرمانگی، یکپارچگی و دسترسی‌پذیری داده‌ها را به‌شدت تحت تأثیر قرار می‌دهد.

نسخه‌های تحت تأثیر

تمامی نسخه‌های TYPO3 قبل از نسخه 11.5.42 ELTS تحت تأثیر این آسیب‌پذیری هستند.

توصیه‌های امنیتی

• به‌روزرسانی TYPO3 به نسخه 11.5.42 ELTS یا نسخه‌های جدیدتر.
• پیکربندی صحیح تنظیمات امنیتی زیر:
  • فعال بودن ویژگی security.backend.enforceReferrer
  • تنظیم BE/cookieSameSite به حالتی غیر از lax یا none
• آموزش کاربران در مورد خطرات کلیک بر روی لینک‌های ناشناس و بازدید از وب‌سایت‌های غیرمعتبر.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-55924

[2]https://www.cve.org/CVERecord?id=CVE-2024-55924

[3]https://github.com/typo3

Coolify یک ابزار متن‌باز است که کاربران می‌توانند آن را روی سرور شخصی خود راه‌اندازی کرده و بدون نیاز به وابستگی به سرویس‌های ابری خارجی برای مدیریت سرورها، برنامه‌ها و پایگاه‌های داده از آن استفاده کنند. اخیراً سه آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-22611،CVE-2025-22612 و CVE-2025-22609 و شدت 10 در این ابزار شناسایی شده است. این آسیب‌پذیری‌ها به دلیل نقص در احراز هویت و مجوزهای دسترسی موجود در این ابزار است که به مهاجم اجازه می‌دهند از ویژگی‌های مختلف نرم‌افزار به‌صورت غیرمجاز بهره‌برداری کنند.

جزئیات آسیب‌پذیری

CVE-2025-22609:

• عدم احراز هویت مناسب باعث می‌شود تا هر کاربر تأییدشده بتواند هر کلید خصوصی موجود در یک نمونه Coolify را به سرور خود متصل نماید. اگر پیکربندی مهاجم شامل آدرس IP، پورت (معمولاً 22) و کاربر (root) با پیکربندی سرور قربانی مطابقت داشته باشد، مهاجم می‌تواند به سیستم قربانی دسترسی گرفته و دستورات دلخواه را اجرا کند.

CVE-2025-22611:

• این آسیب‌پذیری باعث می‌شود که هر کاربر تأییدشده بتواند مجوزهای خود یا سایر اعضای تیم را به سطح دسترسی مدیر ارتقا دهد. مهاجم همچنین می‌تواند هر عضو دیگری را از تیم خارج کرده و از طریق رابط وب Coolify، بدون نیاز به دسترسی مستقیم به سرور قربانی، دستورات سیستم‌عامل برای مدیریت سیستم، پیکربندی شبکه و مدیریت فایل‌ها را اجرا کند.

CVE-2025-22612:

• این آسیب‌پذیری به کاربران تأییدشده این امکان را می‌دهد که کلیدهای خصوصی موجود در یک نمونه Coolify را به‌صورت متن ساده مشاهده کنند. اگر پیکربندی سرور قربانی با سرور مهاجم مطابقت داشته باشد، به افرادی با دسترسی محدود اجازه می‌دهد دستورات مخرب را روی سرورهای راه دور اجرا کرده، داده‌ها را تغییر دهند یا به اطلاعات حساس دسترسی پیدا کنند.

بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H نشان‌دهنده‌ی آسیب‌پذیری بسیار جدی است که مهاجم می‌تواند از راه دور، بدون دسترسی اولیه و بدون تعامل با کاربر بهره‌برداری کند. تأثیر این آسیب‌پذیری بسیار گسترده است و می‌تواند منجر به افشای اطلاعات حساس و دسترسی کامل به سیستم گردد.

نسخه‌های تحت تأثیر

• نسخه‌های قبل از beta.361-4.0.0 تحت تأثیر آسیب‌پذیری CVE-2025-22609 قرار دارند.
• نسخه‌های قبل از beta.361-4.0.0 تحت تأثیر آسیب‌پذیری CVE-2025-22611 قرار دارند.
• نسخه‌های قبل از beta.374-4.0.0 تحت تأثیر آسیب‌پذیری CVE-2025-22612 قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی به نسخه‌ی امن beta.374-4.0.0.
• اعمال احراز هویت دو عاملی (2FA) برای دسترسی به سیستم.
• رمزگذاری و محدودسازی دسترسی به کلیدهای خصوصی.

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-22612

[2]https://www.cve.org/CVERecord?id=CVE-2025-22612

[3]https://www.cvedetails.com/cve/CVE-2025-22609

[4]https://www.cve.org/CVERecord?id=CVE-2025-22609

[5]https://www.cvedetails.com/cve/CVE-2025-22611

[6]https://www.cve.org/CVERecord?id=CVE-2025-22611

[7]https://coolify.io/docs

یک آسیب‌پذیری با شناسهCVE-2025-24756 و شدت 7.1 در افزونه Roi Calculator  برای وردپرس کشف شده است. این نقص امنیتی به دلیل وجود آسیب‌پذیری Cross-Site Request Forgery (CSRF)، امکان اجرای حملاتStored Cross-Site Scripting (XSS) را فراهم می‌کند. مهاجم می‌تواند با فریب کاربر با کلیک بر روی لینک یا بازدید از صفحه‌ای خاص، اسکریپت‌های مخرب را در سیستم کاربر اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L بهره‌برداری از آن از راه دور و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و با تایید کاربر انجام می‌شود (PR:N/UI:R)، با بهره‌برداری ازاین آسیب‌پذیری، سه ضلع امنیت به میزان کمی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:L).
 

محصولات تحت تأثیر

این آسیب‌پذیری نسخه‌های 1.0 و قبل تر افزونه Roi Calculator را تحت تاثیر قرارداده است.
 

توصیه امنیتی

به کاربران توصیه می‌شود در اسرع وقت افزونه Roi Calculator را به نسخه 1.1 ارتقاء دهند.


منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-24756
[2]https://patchstack.com/database/wordpress/plugin/roi-calculator/vulnerability/wordpress-roi-calcula…

یک آسیب‌پذیری بحرانی با شناسهCVE-2025-0707 و شدت 8.5 در نرم‌افزارRise Mode Temp CPU نسخه 2.1 شناسایی شده است. این نقص امنیتی به دلیل وجود مسیر جستجوی غیرقابل‌اعتماد (Untrusted Search Path) در تابعStartup  ایجاد شده است و به مهاجمان محلی اجازه می‌دهد کنترل سیستم را به دست گیرند. این نقص امنیتی امکان اجرای کد دلخواه (ACX) را فراهم می‌کند و مهاجم می‌تواند با استفاده از کتابخانه‌های مخرب، سیستم را آلوده کرده و به دسترسی کامل برسد.
بر اساس بردار حمله این آسیب‌پذیری CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N این آسیب‌پذیری تنها از طریق دسترسی فیزیکی یا محلی به سیستم و با پیچیدگی کم قابل بهره‌برداری است (AV:L/AC:L)، مهاجم بدون نیاز به ابزار های پیشرفته و با سطح دسترسی اولیه می‌تواند حمله را انجام می‌شود (AT:N/PR:L)، نیاز به تعامل با کاربر نیست (UI:N)، این آسیب‌پذیری تأثیر بالایی بر سه ضلع امنیت دارد (VC:H/VI:H/VA:H)، بهره‌برداری از این نقص ‌امنیتی هیچ تأثیری بر منابع امنیتی مانند محرمانگی، صحت یا دسترس‌پذیری منابع دیگر ندارد (SC:N/SI:N/SA).
 

محصولات تحت تأثیر

این نقص امنیتی نرم‌افزارRise Mode Temp CPU  نسخه 2.1 را تحت تأثیر قرار می‌دهد. نسخه‌های دیگر ممکن است نیاز به بررسی دقیق‌تر داشته باشند.


توصیه امنیتی

به کاربران توصیه می‌شود از استفاده از این نسخه خودداری کرده و به دنبال جایگزین‌ یا در صورت امکان به نسخه های بالاتر به روزرسانی کنید.
• محدود کردن دسترسی فیزیکی و محلی به سیستم برای کاهش خطر بهره‌برداری.
• نظارت مداوم بر فعالیت‌های سیستم برای شناسایی هرگونه رفتار غیرعادی.

 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0707
[2 https://www.securityfocus.com/bid/73222

یک آسیب‌پذیری بحرانی با شناسه CVE- 2025- 0411 و شدت 7.0 در 7-Zip هنگام انتقال بیت MotW شناسایی شده است. این نقص امنیتی به مهاجمان از راه دور اجازه می‌دهد تا مکانیسم حفاظتی Mark-of-the-Web را در تأسیسات آسیب‌دیده7-Zip دور بزنند. کاربر با دانلود فایل مخرب و استخراج آن که دارای یک بایگانی دستکاری شده MotW است، سیستم خود را آلوده می کند و زمینه را برای اجرا کد دلخواه (ACX) از سمت مهاجم فراهم می‌کند.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن از راه دور و با پیچیدگی زیاد قابل تکرار است (AV:N/AC:H)، این حمله بدون نیاز به سطح دسترسی و با تایید کاربر انجام می‌شود (PR:N/UI:R)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این آسیب‌پذیری تاثیر بالایی بر سه ضلع امنیت دارد (C:H/I:H/A:H).
 

محصولات تحت تأثیر

این نقص امنیتی محصول 7-Zip و تمام نسخه های قبل تر از 24.09 را تحت تاثیر قرار می‌دهد.
 

توصیه امنیتی

به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار 7-Zip را به نسخه 24.09 ارتقاء دهند.
 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0411
[2]https://www.zerodayinitiative.com/advisories/ZDI-25-045/

یک آسیب‌پذیری بحرانی با شناسه CVE- 2025-0357 و شدت 9.8 در افزونه WPBookit ازWordPress شناسایی شده است. این نقص امنیتی به دلیل اعتبارسنجی ناکافی نوع فایل در تابع "WPB_Profile_controller::handle_image_upload" ایجاد شده است که مهاجم احراز هویت نشده از راه دور می تواند فایل دلخواه را در سرور سایت آسیب‌پذیر آپلود کند تا اجرای کد از راه دور (RCX) را ممکن سازد.
بر اساس بردار حمله این آسیب‌پذیری  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن از راه دور و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و بدون تایید کاربر انجام می‌شود (PR:N/UI:N)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این آسیب‌پذیری تاثیر بالایی بر سه ضلع امنیت دارد (C:H/I:H/A:H).
 

محصولات تحت تأثیر

این نقص امنیتی تمام نسخه های قبل از 1.6.10 را تحت تاثیر قرار می‌دهد.

 

توصیه امنیتی

به کاربران توصیه می‌شود که در اسرع وقت نسخه‌های آسیب‎پذیر را به نسخه 1.6.10 ارتقا دهید.

 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0357
[2]https://documentation.iqonic.design/wpbookit/versions/change-log
[3]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpbookit-2/wpbookit-169-un…

اخیراً آسیب‌پذیری بحرانی با شناسه‌ی CVE-2024-12857 و شدت 9.8 در قالب AdForest وردپرس شناسایی شده است که به مهاجمان غیرمجاز امکان می‌دهد بدون احراز هویت صحیح به حساب‌های کاربران دسترسی پیدا کنند. این نقص ناشی از عدم بررسی صحیح هویت کاربران قبل از ورود به سیستم است.

جزئیات آسیب‌پذیری

این آسیب‌پذیری از نوع دور زدن احراز هویت است که به مهاجمان اجازه می‌دهد تا بدون دانستن رمز عبور، با استفاده از قابلیت ورود یک‌بارمصرف (OTP) از طریق شماره تلفن، به‌عنوان هر کاربری در سیستم احراز هویت شوند. دلیل بروز این نقص، عدم پیاده‌سازی صحیح مکانیزم‌های احراز هویت در این قالب است که منجر به ورود غیرمجاز مهاجمان می‌شود.

بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان می‌دهد که این آسیب‌پذیری اجازه می‌دهد مهاجم بتواند بدون نیاز به دسترسی اولیه و تعامل با کاربر، از طریق شبکه به‌آسانی اقدام به بهره‌برداری نماید.

نسخه‌های تحت تأثیر

تمامی نسخه‌های قالب AdForest قبل و شامل نسخه 5.1.8 تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• توسعه‌دهندگان پس از انتشار، قالب را به آخرین نسخه‌ی پایدار ارتقاء دهند.
• تا زمان ارائه‌ی وصله‌ی رسمی، قابلیت ورود با شماره تلفن و OTP غیرفعال شود.
• برای جلوگیری از ورود غیرمجاز، از احراز هویت چندعاملی استفاده گردد.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-12857

[2]https://www.cve.org/CVERecord?id=CVE-2024-12857

اخیراً در رابط برنامه‌نویسی کاربردی (REST API) سیستم مدیریت جلسات Cisco، آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-20156 و شدت 9.9 شناسایی شده است. این آسیب‌پذیری به مهاجمانی که با سطح دسترسی پایین احراز هویت شده باشند، امکان ارتقای سطح دسترسی به مدیر را فراهم می‌کند. این نقص امنیتی به دلیل عدم اجرای صحیح مجوزدهی به کاربران REST API رخ داده است و مهاجم می‌تواند با بهره‌گیری از آن، اطلاعات حساس جلسات، کاربران و داده‌های ذخیره‌شده در سیستم را مشاهده و استخراج کند.

جزئیات آسیب‌پذیری

نقاط انتهایی آسیب‌پذیر که دسترسی به آن‌ها باید به کاربران خاص محدود شود، در حال حاضر در دسترس کاربران با سطح دسترسی پایین قرار دارند. این آسیب‌پذیری به مهاجم احراز هویت‌ شده با دسترسی محدود اجازه می‌دهد تا با ارسال درخواست‌های خاص API به یک نقطه‌ی انتهایی مشخص، سطح دسترسی خود را به سطح مدیر افزایش دهد. در نتیجه، مهاجم می‌تواند گره‌های تحت مدیریت را که وظیفه پردازش تماس‌های ویدئویی و صوتی را بر عهده دارند، به کنترل خود درآورده، پیکربندی‌ها را تغییر داده یا دسترسی‌های غیرمجاز ایجاد کند.

بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H نشان‌دهنده‌ی آسیب‌پذیری بحرانی است که مهاجم می‌تواند از راه دور و بدون نیاز به تعامل مستقیم با کاربر، با استفاده از دسترسی اولیه محدود به سیستم نفوذ کند.

نسخه‌های تحت تأثیر

تاکنون اطلاعاتی درباره‌ی نسخه‌ی آسیب‌پذیر ارائه نشده است. توصیه می‌شود کاربران برای اطلاعات بیشتر به وب‌سایت Cisco مراجعه کنند.

توصیه‌های امنیتی

برای کاهش ریسک این آسیب‌پذیری، اقدامات زیر توصیه می‌گردد:

• به‌روزرسانی نرم‌افزار CMM به جدیدترین نسخه‌ای که این آسیب‌پذیری را برطرف کرده است.
• محدود کردن دسترسی به رابط برنامه‌نویسی کاربردی تنها برای کاربران مجاز.
• پیاده‌سازی احراز هویت چندعاملی برای کاربران.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-20156

[2]https://www.cve.org/CVERecord?id=CVE-2025-20156

[3]https://www.cisco.com

آسیب‌پذیری CVE-2025-0479 با شدت 8.6 در روترهای CP Plus شناسایی شده است. این آسیب‌پذیری ناشی از مدیریت نادرست پرچم‌های کوکی در رابط وب این دستگاه‌ها است و مهاجمان را قادر می‌سازد تا با رهگیری داده‌های در حال انتقال در طول یک جلسه HTTP، به اطلاعات حساس دسترسی پیدا کنند.

جزئیات آسیب‌پذیری

این آسیب‌پذیری به مهاجمان از راه دور این امکان را می‌دهد که با رهگیری ترافیک شبکه، اطلاعات مهم کاربر را سرقت کنند. مشکل به دلیل پیکربندی نادرست ویژگی‌های امنیتی کوکی‌ها، مانند عدم استفاده از پرچم‌های Secure و HttpOnly رخ می‌دهد. مهاجمان می‌توانند با بهره‌گیری از این نقص، حملات مرد میانی را انجام داده و اطلاعات احراز هویت را استخراج کنند. سپس، با دسترسی غیرمجاز به تنظیمات امنیتی روتر، به شبکه داخلی نفوذ کنند.

بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N نشان می‌دهد مهاجم می‌تواند از طریق شبکه و بدون نیاز به احراز هویت اقدام به بهره‌برداری کند. برای انجام حمله، کاربر باید به نحوی در تعامل با سیستم باشد یا روی یک لینک مخرب کلیک کند. میزان تأثیر بر محرمانگی و یکپارچگی و در دسترس بودن بالا است، به این معنی که مهاجم می‌تواند اطلاعات حساس را افشا کرده، داده‌ها را تغییر دهد و دسترسی به خدمات را مختل کند.

نسخه‌های تحت تأثیر

تاکنون اطلاعاتی درباره‌ی نسخه‌های آسیب‌پذیر و وصله‌های امنیتی منتشر نشده است.

توصیه‌های امنیتی

• نرم‌افزار دستگاه را به آخرین نسخه‌ی ارائه‌شده توسط شرکت سازنده به‌روزرسانی کنید.
• رمزهای پیش‌فرض را تغییر داده و از احراز هویت دو مرحله‌ای برای دسترسی به پنل وب مدیریت روتر استفاده کنید.
• دسترسی به رابط وب دستگاه را به آدرس‌های IP مورد اعتماد محدود کنید.
• در صورت عدم نیاز، رابط وب روتر را غیرفعال کنید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0479

[2]https://www.cvedetails.com/cve/CVE-2025-0479

[3]https://www.cpplusworld.com

یک آسیب‌پذیری بحرانی در روتر Tenda AC15 با شناسه‌ی CVE-2025-0566 و شدت 9.0 شناسایی شده است که مهاجمان را قادر می‌سازد از طریق دستکاری در ورودی آرگومان mac حملات خود را اجرا کنند. این بهره‌برداری از این نقص که از نوع سرریز بافر مبتنی بر پشته است، می‌تواند منجر به دسترسی غیرمجاز، اجرای کد از راه دور و افشای اطلاعات گردد.

جزئیات آسیب‌پذیری

تابع formSetDevNetName در روترهای Tenda برای تنظیم نام شبکه‌ی دستگاه استفاده می‌شود. این تابع معمولاً مسئول پردازش ورودی‌های کاربر از طریق فرم‌های وب است که به کاربر امکان می‌دهد نام شبکه یا SSID را تغییر دهد. با این حال، در نسخه‌ی 15.13.07.13 از روتر Tenda AC15، یک آسیب‌پذیری در این تابع شناسایی شده است که می‌تواند منجر به سرریز بافر مبتنی بر پشته شود. این نقص امنیتی به مهاجمان اجازه می‌دهد تا با ارسال ورودی‌های مخرب به آرگومان mac، کد مخرب را از راه دور اجرا کرده و کنترل کامل دستگاه را در دست بگیرند. بهره‌برداری از این آسیب‌پذیری به‌صورت عمومی افشا شده است و مهاجمان با دانش فنی کم نیز می‌توانند از این اطلاعات برای انجام حملات سوءاستفاده نمایند.

بردار CVSS: AV:N/AC:L/Au:S/C:C/I:C/A:C، نشان می‌دهد که بهره‌برداری از این آسیب‌پذیری نیازمند احراز هویت است و از طریق شبکه قابل انجام است. بهره‌برداری از این نقص تأثیر شدیدی بر محرمانگی، یکپارچگی و در دسترس بودن روتر و داده‌ها دارد. مهاجم می‌تواند اطلاعات حساس را استخراج کند، داده‌ها را تغییر دهد و روتر را از کار بیندازد.

نسخه‌های تحت تأثیر

Tenda AC نسخه‌ی 15.13.07.13 تحت تأثیر این آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی

• نرم‌افزار دستگاه به آخرین نسخه‌ی ارائه شده توسط شرکت سازنده بروزرسانی گردد.
• دسترسی به رابط کاربری دستگاه به آدرس‌های IP مورد اعتماد محدود گردد.
• از فایروال داخلی دستگاه به‌منظور جلوگیری از نفوذ، محدود کردن حملات از راه دور و جلوگیری از دسترسی مهاجمان به مسیرهای آسیب‌پذیر مانند تابع آسیب‌پذیر formSetDevNetName استفاده گردد.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0566

[2]https://www.cvedetails.com/cve/CVE-2025-0566

[3]https://www.manua.ls/tenda/ac15/manual