ابزارLightLLM یک چارچوب متن‌باز برای اجرای سریع مدل‌های زبانی بزرگ (LLM) در محیط‌های سازمانی و تحقیقاتی است که با هدف ارائه سرویس‌های هوش مصنوعی، پردازش متن و استقرار سامانه‌های مبتنی بر مدل‌های زبانی در زیرساخت داخلی مورد استفاده قرار می‌گیرد. با توجه به اینکه این سامانه معمولاً در لایه سرویس‌های هوش مصنوعی سازمان و متصل به سایر سامانه‌های داخلی استقرار می­یابد، بروز آسیب‌پذیری در آن می‌تواند ریسک قابل‌توجهی برای امنیت زیرساخت ایجاد کند .اخیراً آسیب‌پذیری بحرانی با شناسه CVE-2026-26220 و شدت بحرانی با امتیاز 9.3 در این ابزار شناسایی شده است. این آسیب‌پذیری از نوع اجرای کد از راه دور ناشی از تبدیل ناامن داده سریال‌شده به شیء بوده و در حالت PD رخ می‌دهد.در نتیجه  این آسیب­پذیری، مهاجم می‌تواند با ارسال payload دستکاری‌شده کد دلخواه خود را روی سرور اجرا کرده و کنترل سامانه را در اختیار بگیرد.

جزئیات آسیب‌پذیری

این نقص در ابزار LightLLM ناشی از پیاده‌سازی ناامن مکانیزم پردازش داده در معماری PDاست. در این معماری، یک گره مرکزی با عنوان PD Master مسئول مدیریت ارتباط بین گره­های پردازشی و تبادل داده‌های مربوط به فرآیند استنتاج می‌باشد.در نسخه‌های آسیب‌پذیر، مؤلفه PD Master با ارائه نقاط پایانی مبتنی بر WebSocket، داده‌های باینری دریافتی از شبکه را دریافت و پردازش می‌کند. داده‌های دریافت‌شده بدون انجام احراز هویت، کنترل سطح دسترسی یا اعتبارسنجی، به تابع pickle.loads() در زبان Python ارسال می‌شوند. این رفتار منجر به بازخوانی ناامن داده‌های سریال‌شده می‌گردد.

از آنجا که مکانیزم pickle در Python قادر به اجرای کد هنگام فرآیند تبدیل داده سریال‌شده به شیء است، یک مهاجم راه دور می‌تواند با ارسال payload دستکاری‌شده، دستورات دلخواه خود را در بستر سیستم‌عامل اجرا نماید. بهره‌برداری از این آسیب‌پذیری نیازمند تعامل کاربر نبوده و تنها دسترسی شبکه‌ای به PD Master کافی است.

در صورت موفقیت حمله، مهاجم قادر خواهد بود کنترل کامل سرویس LightLLM و در حالت خاص سرور میزبان را در اختیار گرفته و به داده‌های پردازشی یا مدل‌های هوش مصنوعی دسترسی پیدا کند، تنظیمات سرویس را تغییر دهد یا از سیستم به‌عنوان نقطه ورود به شبکه داخلی استفاده نماید.

بردار حملهCVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N نشان می­دهد آسیب‌پذیری از طریق شبکه، با پیچیدگی پایین و بدون نیاز به تعامل کاربر قابل بهره­برداری است. در صورت موفقیت، مهاجم می­تواند بر محرمانگی، صحت و دسترس‌پذیری سامانه هدف تاثیر بگذارد. اما تاثیر آن محدود به همان مؤلفه آسیب‌پذیر است و به سایر سامانه‌های سازمان گسترش نمی یابد.

نسخه‌های تحت تاثیر

نسخه‌های ۱.۱.۰ ابزارLightLLM  و تمامی نسخه‌های پیش از آن تحت تاثیر این آسیب­پذیری قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی فوری نرم‌افزار به نسخه‌ امن بالاتر از 1.1.0.
• محدودسازی دسترسی شبکه‌ای به PD Master و جلوگیری از دسترسی مستقیم از اینترنت
• قرار دادن سرویس در شبکه داخلی و اعمال کنترل دسترسی مبتنی بر Firewall
• اجرای سرویس با حداقل سطح دسترسی سیستم‌عاملی و پرهیز از اجرای آن با کاربر root.
• غیرفعال‌سازی PD Mode تا زمان اعمال اصلاحات امنیتی.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2026-26220

https://www.vulncheck.com/advisories/lightllm-pd-mode-unsafe-deserialization-rce

https://www.cvedetails.com/cve/CVE-2026-26220

https://lightllm-en.readthedocs.io/en/latest/index.html

آسیب‌پذیری CVE-2026-2577 در مؤلفه WhatsApp bridge نرم‌افزار Nanobot  با شدت 10 به دلیل پیکربندی ناامن سرور WebSocket ایجاد شده است. این سرور به‌طور پیش‌فرض روی همه اینترفیس‌های شبکه (0.0.0.0) اجرا می‌شود و هیچ مکانیزم احراز هویتی برای اتصال‌های ورودی ندارد. در نتیجه، هر مهاجمی که به شبکه دسترسی داشته باشد می‌تواند بدون مجوز به سرور WebSocket متصل شود. پس از اتصال، مهاجم قادر است نشست واتساپ کاربر را در اختیار بگیرد. این موضوع امکان ارسال پیام به نام کاربر، مشاهده پیام‌ها و فایل‌های دریافتی به‌صورت لحظه‌ای، و حتی دریافت کدهای QR احراز هویت را فراهم می‌کند. چنین دسترسی‌ای عملاً کنترل کامل ارتباطات واتساپ را به مهاجم می‌دهد. بهره‌برداری از این ضعف ساده بوده و فقط به دسترسی شبکه نیاز دارد. در صورت سوءاستفاده، حریم خصوصی و امنیت ارتباطات کاربران به‌شدت به خطر می‌افتد.

محصولات تحت‌تأثیر

• مؤلفه WhatsApp Bridge در نرم‌افزار
• Nanobot
• تمامی استقرارهایی که سرور WebSocket به‌صورت پیش‌فرض روی 0.0.0.0:3001 اجرا می‌شود و احراز هویت برای اتصال فعال نیست.
• محیط‌هایی که پل واتساپ از شبکه داخلی یا اینترنت قابل دسترسی مستقیم است.

توصیه‌های امنیتی

• محدودسازی دسترسی شبکه‌ای به پورت 3001 فقط برای میزبان‌های مورد اعتماد (Firewall / ACL).
• فعال‌سازی احراز هویت برای اتصال WebSocket یا استفاده از توکن‌های دسترسی امن.
• Bind کردن سرویس فقط روی localhost یا شبکه داخلی امن به‌جای 0.0.0.0.
• استفاده از Reverse Proxy امن همراه با TLS و کنترل دسترسی.
• جداسازی شبکه (Network Segmentation) برای جلوگیری از دسترسی مستقیم خارجی.
• بازنشانی نشست واتساپ و اسکن فعالیت‌ها در صورت احتمال سوءاستفاده.
• به‌روزرسانی نرم‌افزار به نسخه‌ای که تنظیمات امن‌تری برای WebSocket اعمال می‌کند.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-2577

افزونه midi-Synth با استفاده از کتابخانه‌های صوتی امکان ایجاد، ویرایش و پخش فایل‌های MIDI را درسیستم مدیریت محتوی وردپرس فراهم می‌کند. اخیراً آسیب‌پذیری بحرانی با شناسه CVE-2026-1306 و شدت بحرانی با امتیاز 9.8 در این افزونه شناسایی شده است. این آسیب‌پذیری از نوع آپلود فایل بدون احراز هویت است و به مهاجم اجازه می‌دهد با استخراج nonce از کد جاوااسکریپت سمت کاربر و ارسال یک درخواست HTTP دلخواه به عملیات export، فایل‌های مخرب خود را روی سرور قربانی آپلود کرده و در شرایط خاص، منجر به اجرای کد از راه دور گردد.

جزئیات آسیب‌پذیری

این آسیب‌پذیری ناشی از عدم اعتبارسنجی مناسب نوع و پسوند فایل در فرآیند پردازش درخواست‌های AJAX در افزونه midi-Synth وردپرس است. در نسخه آسیب‌پذیر، عملیات export که به‌طور کامل در دسترس کاربران ناشناس قرار دارد، فایل‌های ارسالی را بدون بررسی محدودیت‌های نوع و پسوند، در مسیر مشخصی روی سرور ذخیره می‌کند. فرآیند آپلود نیازمند یک nonce معتبر است، اما این nonce به‌دلیل قرارگیری در کد جاوااسکریپت سمت کاربر، توسط مهاجم قابل استخراج است و محدودیتی برای بهره‌برداری ایجاد نمی‌کند. در صورتی که مهاجم یک درخواست HTTP حاوی یک فایل مخرب (مانند وب‌شل با پسوند PHP) به همراه nonce استخراج‌شده به عملیات export ارسال کند، فایل مورد نظر در سرور ذخیره شده و با دسترسی بعدی به آن، کد دلخواه مهاجم روی سرور اجرا می‌شود. این وضعیت می‌تواند منجر به تصاحب کامل سرور، سرقت اطلاعات، تغییر محتوا یا اختلال در دسترسی به وب‌سایت گردد.

بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان می دهد که این آسیب‌پذیری از طریق شبکه و از راه دور با پیچیدگی پایین قابل بهره‌برداری است و مهاجم بدون نیاز به احراز هویت یا هرگونه تعامل از سوی قربانی می‌تواند حمله را انجام دهد. تأثیر این آسیب‌پذیری محدود به همان مؤلفه آسیب‌دیده است و سایر بخش‌های سیستم را تحت تاثیر قرار نمی­دهد، اما در صورت سوءاستفاده موفق، منجر به نقض کامل محرمانگی (دسترسی به تمامی داده‌ها)، یکپارچگی (امکان ایجاد هرگونه تغییر در اطلاعات) و در دسترس‌بودن سرویس (از کار انداختن سامانه) خواهد شد که نشان‌دهنده شدت بحرانی این نقص امنیتی است.

نسخه‌های تحت تاثیر

نسخه‌­ی 1.1.0 افزونه midi-Synth و تمامی نسخه های قبل از آن تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی افزونه midi-Synth به نسخه وصله‌شده (در صورت انتشار) یا حذف و غیرفعال‌سازی کامل آن تا زمان ارائه وصله امنیتی.
• کنترل آپلود فایل با استفاده از لیست سفید انواع فایل‌های مجاز، اعتبارسنجی پسوند فایل و بررسی MIME type.
• مدیریت دسترسی پوشه آپلود بمنظور جلوگیری از اجرای فایل‌های آپلود شده.

منابع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-1306

https://www.wordfence.com/threat-intel/vulnerabilities/id/d5b695d7-c690-4748-b218-5699d1aa63bf?source=cve

https://www.cvedetails.com/cve/CVE-2026-1306

https://plugins.trac.wordpress.org/browser/midi-synth/tags/1.1.0/midiSynth.php#L110

آسیب‌پذیری CVE-2026-26369 در سرور eNet SMART HOME نسخه‌های 2.2.1 و 2.3.1 با شدت 9.3 به دلیل ضعف در کنترل مجوز (Authorization) در متد setUserGroup از طریق رابط JSON-RPC ایجاد شده است. در این نقص امنیتی، یک کاربر با سطح دسترسی پایین (UG_USER) می‌تواند با ارسال یک درخواست POST دستکاری‌شده به مسیر /jsonrpc/management، گروه کاربری خود را به UG_ADMIN تغییر دهد. این فرآیند بدون انجام بررسی‌های مناسب سطح دسترسی انجام می‌شود. در نتیجه مهاجم می‌تواند به قابلیت‌های مدیریتی کامل دست پیدا کند. این دسترسی شامل تغییر تنظیمات شبکه، مدیریت دستگاه‌های هوشمند، و اعمال تغییرات سیستمی در زیرساخت خانه هوشمند است. بهره‌برداری از این ضعف پیچیدگی فنی بالایی ندارد و می‌تواند منجر به کنترل کامل سامانه شود. با توجه به ماهیت سیستم‌های خانه هوشمند، این آسیب‌پذیری می‌تواند پیامدهای امنیتی و حتی فیزیکی قابل توجهی به همراه داشته باشد.

محصولات تحت‌تأثیر

• eNet SMART HOME Server
• نسخه  2.2.1 و نسخه 2.3.1
• سامانه‌هایی که رابط JSON-RPC مدیریت آن‌ها فعال و در دسترس شبکه قرار دارد.
• محیط‌هایی که کاربران با سطح UG_USER امکان دسترسی به endpoint /jsonrpc/management را دارند.

توصیه‌های امنیتی

• به‌روزرسانی فوری نرم‌افزار به نسخه‌ای که وصله امنیتی را دریافت کرده است.
• محدودسازی دسترسی شبکه‌ای به endpoint مدیریت (/jsonrpc/management) فقط برای IPهای مورد اعتماد.
• فعال‌سازی تفکیک شبکه (Network Segmentation) برای جدا کردن سرور خانه هوشمند از شبکه عمومی یا اینترنت.
• اعمال کنترل دسترسی مبتنی بر نقش (RBAC) در سطح سرور و بررسی صحت مجوزها در تمام متدهای JSON-RPC.
• غیرفعال‌سازی دسترسی مستقیم مدیریتی از بیرون شبکه داخلی.
• بررسی و ممیزی حساب‌های کاربری برای شناسایی هرگونه تغییر غیرمجاز در گروه‌های کاربری.
• فعال‌سازی لاگ‌برداری دقیق از درخواست‌های JSON-RPC و پایش رفتارهای مشکوک.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-26369

آسیب‌پذیری CVE-2025-8572 در افزونه Truelysell Core با شدت 9.8 برای وردپرس به دلیل اعتبارسنجی ناکافی پارامتر user_role در فرآیند ثبت‌نام کاربران ایجاد شده است. در نسخه‌های تا قبل از 1.8.7، این افزونه هنگام ایجاد حساب کاربری جدید، مقدار نقش کاربر را به‌درستی بررسی و محدود نمی‌کند. در نتیجه، یک مهاجم بدون نیاز به احراز هویت می‌تواند هنگام ثبت‌نام، نقش کاربری خود را به سطحی بالاتر مانند Administrator تغییر دهد. این موضوع منجر به ارتقای سطح دسترسی غیرمجاز می‌شود. پس از دستیابی به دسترسی مدیریتی، مهاجم می‌تواند کنترل کامل وب‌سایت را در اختیار بگیرد. این کنترل شامل نصب افزونه مخرب، تغییر محتوا یا حتی اجرای کد دلخواه روی سرور است. شدت این آسیب‌پذیری بالا ارزیابی می‌شود زیرا بهره‌برداری از آن ساده و بدون نیاز به دسترسی اولیه است. بروزرسانی افزونه به نسخه امن برای جلوگیری از سوءاستفاده ضروری است.

محصولات تحت‌تأثیر

•   افزونه وردپرس:
• Truelysell Core
•   نسخه‌های آسیب‌پذیر:
• تمام نسخه‌ها تا و شامل 1.8.7

توصیه‌های امنیتی

• به‌روزرسانی افزونه Truelysell Core به آخرین نسخه‌ای که این نقص را رفع کرده؛
• غیرفعال‌سازی افزونه تا زمانی که نسخه امن نصب شود؛
• نصب افزونه‌های امنیتی مانند Wordfence برای تشخیص تلاش‌های ارتقای غیرمجاز دسترسی؛
• افزودن CAPTCHA و محدودیت‌های بیشتر برای فرم‌های ثبت‌نام؛
• بازبینی نقش‌های کاربری و حذف/اصلاح حساب‌های مشکوک یا غیرمجاز؛
• بررسی لاگ‌های ورود و ثبت‌نام برای شناسایی تلاش‌های غیرمجاز.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-8572

آسیب‌پذیری CVE-2026-26221 در Hyland OnBase با شدت 10 به دلیل ضعف امنیتی در OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe) ایجاد شده است. این سرویس از .NET Remoting استفاده می‌کند و مهاجم بدون احراز هویت می‌تواند درخواست‌های ساختگی به نقاط پیش‌فرض HTTP روی پورت TCP/8900 ارسال کند. نقص موجود باعث خواندن و نوشتن دلخواه فایل‌ها روی سرور می‌شود و در صورتی که محتوای مخرب در مسیرهای وب‌دسترسی قرار گیرد یا با ویژگی‌های دیگر OnBase ترکیب شود، امکان اجرای کد از راه دور نیز فراهم می‌شود. علاوه بر این، مهاجم می‌تواند با استفاده از مسیرهای UNC، احراز هویت NTLM را به سمت میزبان کنترل‌شده هدایت کند (SMB coercion). این مشکل امنیتی خطر جدی برای سرورهای OnBase محسوب می‌شود و بهره‌برداری موفق از آن می‌تواند به تسلط کامل مهاجم بر سیستم منجر شود.

محصولات تحت‌تأثیر

• Hyland OnBase
• به‌ویژه سرویس OnBase Workflow Timer Service (Hyland.Core.Workflow.NTService.exe)
• نسخه‌هایی که از .NET Remoting با نقاط پیش‌فرض فعال روی TCP/8900 استفاده می‌کنند
• هر استقرار OnBase که Workflow Timer فعال دارد
• سامانه‌های متصل به این سرویس با دسترسی شبکه‌ای به پورت 8900

توصیه‌های امنیتی

• به‌روزرسانی فوری OnBase به نسخه‌ای که این ضعف در آن رفع شده (بر اساس Advisory رسمی Hyland).
• غیرفعال کردن یا محدود کردن دسترسی به سرویس Workflow Timer از شبکه‌های غیرقابل‌اعتماد.
• بستن پورت TCP/8900 در فایروال یا محدود کردن دسترسی به آن به آدرس‌های مشخص.
• استفاده از فیلترهای لایه شبکه (Network Segmentation) برای جداسازی سرویس‌های داخلی از اینترنت.
• بررسی و پالایش پیکربندی .NET Remoting برای غیرفعال‌سازی نقاط پیش‌فرض ناامن.
• چرخش اعتبارنامه‌ها و توکن‌ها در صورت‌ بروز ممکن سوءاستفاده از مسیرهای UNC/NTLM coercion.
• فعال‌سازی سیستم‌های تشخیص نفوذ (IDS/IPS) برای شناسایی تلاش‌های سوءاستفاده از نقاط Remoting.
• نظارت مداوم لاگ‌ها برای تشخیص رفتار غیرمعمول در ارتباط با پورت و سرویس‌های آسیب‌پذیر.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-26221

آسیب‌پذیری CVE-2025-66630 با شدت 9.2  در فریم‌ورک وب Fiber به دلیل عدم مدیریت خطا در تولید اعداد تصادفی امن ایجاد شده است. در نسخه‌های قبل از 2.52.11 و در محیط‌های Go قدیمی‌تر از 1.24، ماژول تصادفی‌سازی ممکن است خطا بازگرداند. اما Fiber این خطا را بررسی نمی‌کند و همچنان UUID تولید می‌شود. در نتیجه، شناسه‌ها ممکن است قابل پیش‌بینی یا تکراری باشند. این موضوع امنیت بخش‌هایی مانند نشست‌ها (Sessions، (CSRF، نرخ‌دهی (Rate Limiting) و Request-ID را تضعیف می‌کند. مهاجم می‌تواند از این ضعف برای جعل هویت یا دور زدن کنترل‌های امنیتی استفاده کند. این آسیب‌پذیری در نسخه 2.52.11 رفع شده است. به‌روزرسانی فوری توصیه می‌شود.

محصولات تحت‌تأثیر

• Fiber (Go Web Framework)
• نسخه‌های قبل از 2.52.11
• برنامه‌ها یا سرویس‌هایی که از Fiber نسخه‌های آسیب‌پذیر استفاده می‌کنند
• به‌ویژه آن‌هایی که از UUID برای Session, CSRF, Rate Limiting یا Request-ID بهره می‌برند

توصیه‌های امنیتی

• به‌روزرسانی فوری Fiber به نسخه 2.52.11 یا بالاتر.
• به‌روزرسانی Go به نسخه 1.24 یا بالاتر برای بهبود تصادفی‌سازی امن.
• بررسی و رفع هرگونه استفاده از UUIDهای قابل پیش‌بینی در middleware.
• افزودن بررسی خطا (error handling) هنگام تولید UUID.
• آزمایش‌های امنیتی (fuzzing/QA) برای مسیرهای حساس به شناسه‌های تصادفی.
• مانیتورینگ استفاده از UUID در بخش‌های حساس برنامه.
• استفاده از کتابخانه‌های تصادفی‌سازی معتبر و امن برای کاربردهای امنیتی.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-66630

وب‌سرور lighttpd یکی از وب‌سرورهای سبک و پرکاربرد است که به‌طور گسترده در سامانه‌های Embedded، تجهیزات شبکه، محصولات OEM و پنل‌های مدیریتی تحت وب مورد استفاده قرار می‌گیرد. در بسیاری از این محصولات، نسخه‌ای سفارشی‌سازی‌شده (اصلاح‌شده) از lighttpd به‌کار گرفته می‌شود که خارج از چرخه به‌روزرسانی رسمی پروژه اصلی بوده و شامل تغییرات اختصاصی در کد منبع است. اخیراً آسیب‌پذیری بحرانی با شناسه CVE-2026-22903 و شدت بحرانی با امتیاز 9.8 در نسخه اصلاح‌شده این وب‌سرور شناسایی شده است. این آسیب‌پذیری از نوع سرریز بافر پشته‌ای است و به مهاجم اجازه می‌دهد با ارسال یک درخواست HTTP  دلخواه، منجر به از کار افتادن سرویس و در شرایط خاص، اجرای کد دلخواه گردد.

جزئیات آسیب‌پذیری

این آسیب‌پذیری ناشی از عدم اعتبارسنجی مناسب طول مقدار دریافتی کوکی SESSIONID در فرآیند پردازش درخواست‌های HTTP در وب‌سرور lighttpd است. در پیاده‌سازی آسیب‌پذیر، مقدار کوکی SESSIONID که به‌طور کامل تحت کنترل کاربر یا مهاجم است، بدون بررسی محدودیت طول، در یک بافر با اندازه ثابت روی پشته کپی می‌شود. در صورتی که مهاجم یک درخواست HTTP حاوی مقدار بیش از حد طولانی برای کوکی SESSIONID ارسال کند، داده ورودی از محدوده حافظه تخصیص‌یافته فراتر رفته و منجر به بازنویسی حافظه پشته می‌شود. این وضعیت می‌تواند باعث قطعی سرویس گردد و همچنین با توجه به ضعف مکانیزم‌های حفاظتی پشته در سناریوهای خاص امکان اجرای کد دلخواه توسط مهاجم از راه دور نیز وجود دارد.

بردارحمله  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hبیانگر آن است که این نقص از راه دور، با پیچیدگی پایین و بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است و در صورت سوءاستفاده موفق، منجر به نقض کامل محرمانگی، یکپارچگی و در دسترس‌بودن سرویس می‌شود.

نسخه‌های تحت تاثیر

نسخه‌های اصلاح‌شده lighttpd  تحت تاثیر این آسیب پذیری قرار دارند.

توصیه‌های امنیتی

• به‌روزرسانی نسخه آسیب‌پذیر وب‌سرور lighttpd اصلاح‌شده
• دسترسی به سامانه‌ها و تجهیزاتی که از lighttpd اصلاح‌شده در رابط وب انها استفاده می‌گردد به شبکه داخلی و IPهای مجاز محدود شود.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2026-22903

https://certvde.com/de/advisories/VDE-2026-004

https://www.cvedetails.com/cve/CVE-2026-22903

Macrozheng Mall یک سامانه فروشگاه اینترنتی متن‌باز است که در بسیاری از پروژه‌های تجارت الکترونیک، سامانه‌های فروش آنلاین مورد استفاده قرار می‌گیرد و شامل ماژول‌هایی نظیر مدیریت کاربران، احراز هویت، سفارشات و پرداخت می‌باشد. اخیراً آسیب‌پذیری‌ با شناسه CVE-2026-25858 وشدت 9.3 در این سامانه شناسایی شده است که از نوع نقص منطقی در فرآیند احراز هویت و بازیابی رمز عبور بوده و به مهاجم غیرمجاز اجازه می‌دهد بدون نیاز به احراز هویت، رمز عبور حساب‌های کاربری را بازنشانی کرده و منجر به دسترسی غیرمجاز به حساب کاربری از راه دور گردد.

جزئیات آسیب‌پذیری

 این آسیب‌پذیری ناشی از ضعف در طراحی و پیاده‌سازی فرآیند بازیابی رمز عبور در ماژول mall-portal سامانه Macrozheng Mall است. در این فرآیند، سامانه امکان آغاز بازنشانی رمز عبور را تنها بر اساس شماره تلفن کاربر فراهم می‌کند، بدون آنکه هرگونه سازوکار مؤثر برای احراز هویت کاربر یا تأیید مالکیت شماره تلفن ارائه‌شده وجود داشته باشد. در مرحله ارسال درخواست بازیابی رمز عبور، سامانه یک کد یکبارمصرف (OTP) تولید کرده و به‌جای ارسال امن آن از طریق یک کانال مستقل، مقدار این کد را به‌صورت مستقیم در پاسخ API بازمی‌گرداند. در ادامه، درخواست تغییر رمز عبور تنها با مقایسه OTP ارائه‌شده با مقدار ذخیره‌شده برای همان شماره تلفن اعتبارسنجی می‌شود و هیچ کنترل امنیتی تکمیلی جهت تطبیق هویت درخواست‌دهنده اعمال نمی‌گردد.

بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:Nبیانگر این است که این نقص از راه دور و به سادگی قابل بهره‌برداری بوده و مهاجم برای اجرای آن به دسترسی اولیه یا تعامل کاربر نیاز ندارد. بهره‌برداری موفق از این نقص می‌تواند منجر به نقض جدی محرمانگی و یکپارچگی داده‌ها شود، بنابراین مهاجم قادر است کنترل حساب‌های کاربری را در اختیار گرفته و اطلاعات حساس مرتبط با آن‌ها را مشاهده یا تغییر دهد. با این حال، این آسیب‌پذیری تأثیری بر در دسترس‌بودن کلی سامانه یا سرویس اصلی نداشته و موجب اختلال یا توقف سرویس نمی‌شود. همچنین دامنه اثرگذاری آن به همان مؤلفه آسیب‌پذیر محدود است.

نسخه‌های تحت تاثیر

این آسیب‌پذیری نسخه 1.0.3 و تمامی نسخه‌های پیش از آن  را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی

• به‌روزرسانی سامانه به نسخه‌ای که این آسیب‌پذیری در آن اصلاح شده است
• محدود کردن دسترسی به APIهای مرتبط با بازنشانی رمز عبور
• استفاده از کانال‌های امن برای ارسال کدهای یکبارمصرف.

منابع

https://nvd.nist.gov/vuln/detail/CVE-2026-25858

https://github.com/macrozheng/mall/issues/946

https://www.vulncheck.com/advisories/macrozheng-mall-unauthenticated-password-reset-via-otp-disclos…

https://www.cvedetails.com/cve/CVE-2026-25858

آسیب‌پذیری CVE-2025-15027 با شدت 9.8 در افزونه وردپرسی JAY Login & Register به دلیل ضعف در اعتبارسنجی درخواست‌های ثبت‌نام کاربران ایجاد شده است. این افزونه اجازه می‌دهد مهاجم بدون احراز هویت، متادیتای کاربران را به‌صورت دلخواه تغییر دهد. در نتیجه، مهاجم می‌تواند نقش کاربری خود را به مدیر (Administrator) ارتقا دهد. این نقص منجر به دسترسی کامل به سایت وردپرسی می‌شود. تمام نسخه‌ها تا 2.6.03 تحت تأثیر قرار دارند. سوءاستفاده از این آسیب‌پذیری بسیار ساده و از راه دور امکان‌پذیر است. این مسئله یک تهدید بحرانی برای امنیت سایت محسوب می‌شود. به‌روزرسانی فوری افزونه توصیه می‌شود.

محصولات تحت‌تأثیر

• افزونه WordPress:

JAY Login & Register              

• تمام نسخه‌ها تا و شامل 2.6.03

  این آسیب‌پذیری به‌دلیل نقص در تابع jay_login_register_ajax_create_final_user    رخ می‌دهد و به مهاجم غیرمعتبر اجازه می‌دهد متادیتای کاربری را تغییر دهد و نقش خود را به Administrator ارتقا دهد.

توصیه‌های امنیتی

• به‌روزرسانی افزونه JAY Login & Register به آخرین نسخه امن.
• غیرفعال‌سازی موقت افزونه در صورت عدم نیاز تا زمان پچ رسمی.
• نصب افزونه‌های امنیتی مانند Wordfence یا iThemes Security برای شناسایی تلاش‌های سوءاستفاده.
• استفاده از CAPTCHA یا محدودسازی درخواست‌های AJAX حساس.
• بازبینی و مدیریت نقش‌های کاربری و حذف حساب‌های مشکوک.
• بررسی لاگ‌ها برای شناسایی تلاش‌های غیرمجاز ارتقای دسترسی.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-15027