آسیب‌پذیری CVE-2025-7673 با شدت 9.8 از 10، یک ضعف امنیتی بحرانی از نوع سرریز بافر (Buffer Overflow) در مؤلفه URL parser مربوط به وب‌سرور zhttpd در فریم‌ور دستگاه‌های Zyxel VMG8825-T50K با نسخه‌های قبل از V5.50 (ABOM.5) C0 است.
این آسیب‌پذیری به مهاجم اجازه می‌دهد بدون احراز هویت و از راه دور، با ارسال درخواست HTTP مخرب، شرایط عدم دسترسی به سرویس (DoS) ایجاد کرده و کد دلخواه را روی سیستم هدف اجرا کند.
علت اصلی این ضعف، عدم بررسی اندازه ورودی هنگام کپی داده‌ها در حافظه است که منجر به سرریز بافر می‌شود.
این حمله از طریق شبکه و از راه دور انجام می‌شود (AV:N)، پیچیدگی بهره‌برداری پایین است (AC:L)، نیاز به هیچ‌گونه سطح دسترسی یا احراز هویت ندارد (PR:N)، نیاز به تعامل کاربر ندارد (UI:N) و دامنه آسیب‌پذیری محدود به مؤلفه هدف است (S:U).
محرمانگی، یکپارچگی و دسترسی‌پذیری به‌شدت تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات آسیب‌پذیر

• Zyxel VMG8825-T50K با نسخه‌های قبل از V5.50 (ABOM.5) C0
• Zyxel VMG3927-T50K
• Zyxel VMG8825-B50A/B60A
• Zyxel VMG8825-Bx0B
• Zyxel EMG5723-T50K

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخه‌های امن منتشرشده توسط Zyxel
• محدودسازی دسترسی به رابط‌های مدیریتی از طریق فایروال و ACL
• جلوگیری از قرار گرفتن دستگاه‌ها در معرض اینترنت عمومی
• نظارت بر ترافیک HTTP و تحلیل لاگ‌ها برای شناسایی رفتارهای مشکوک
• اجرای تست‌های نفوذ دوره‌ای برای بررسی آسیب‌پذیری‌های مشابه
• غیرفعال‌سازی سرویس‌های غیرضروری در دستگاه‌های CPE
• اطلاع‌رسانی به کاربران نهایی و ISP برای دریافت نسخه‌های اصلاح‌شده

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7673

آسیب‌پذیری CVE-2025-6043 با شدت 9.1 از 10، یک ضعف امنیتی بحرانی در Cisco Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC) محسوب می‌شود که ناشی از عدم اعتبارسنجی صحیح ورودی‌های کاربر در برخی از APIهای سیستم است. مهاجم می‌تواند با ارسال درخواست‌های مخرب، تغییرات غیرمجاز در سیستم ایجاد کند یا آن را از کار بیندازد.
مهاجم می‌تواند از راه دور و بدون نیاز به حضور فیزیکی به سیستم هدف دسترسی پیدا کند (AV:N)، پیچیدگی حمله پایین است (AC:L)، به دسترسی اولیه نیاز دارد (PR:L)، نیاز به تعامل کاربر ندارد (UI:N)، محدوده تأثیر محدود به همان مؤلفه آسیب‌پذیر است (S:U)، اما یکپارچگی داده‌ها به‌شدت آسیب می‌بیند (I:H) و دسترس‌پذیری سیستم مختل می‌شود (A:H).

محصولات آسیب‌پذیر

• Cisco ISE نسخه‌های 3.3 و 3.4
• Cisco ISE-PIC نسخه‌های 3.3 و 3.4

توصیه‌های امنیتی

• به‌روزرسانی و نصب آخرین پچ‌های سیسکو برای ISE 3.3 و 3.4 و ISE-PIC
• اعمال ACL برای محدود کردن دسترسی به APIهای حساس
• مسدود کردن دسترسی مدیریتی از اینترنت
• فعال‌سازی لاگ‌گیری کامل برای APIها
• راه‌اندازی SIEM برای تشخیص فعالیت‌های غیرعادی
• غیرفعال‌سازی APIهای غیرضروری
• فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای حساب‌های مدیریتی
• ارزیابی امنیتی و بازبینی مداوم تنظیمات امنیتی

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-6043

آسیب‌پذیری CVE-2025-28965 با شدت 8.6 از 10، یک ضعف امنیتی با سطح خطر بالا در افزونه‌ی URL Shortener برای وردپرس است که ناشی از عدم کنترل صحیح مجوزها (Missing Authorization) در برخی از عملکردهای API می‌باشد. این نقص باعث می‌شود مهاجم بتواند بدون احراز هویت، به عملکردهایی دسترسی پیدا کند که باید محدود به کاربران مجاز باشد.
مهاجم می‌تواند از راه دور و بدون نیاز به حضور فیزیکی به سیستم هدف دسترسی پیدا کند (AV:N)، پیچیدگی حمله پایین است (AC:L)، نیاز به دسترسی اولیه دارد (PR:L) و نیاز به تعامل کاربر ندارد (UI:N). تأثیری بر محرمانگی ندارد (C:N)، محدوده تأثیر محدود به همان مؤلفه آسیب‌پذیر است (S:U)، اما تمامیت داده‌ها به‌شدت آسیب می‌بیند (I:H) و تأثیر شدید بر دسترس‌پذیری دارد (A:H).

محصولات آسیب‌پذیر

• افزونه‌ی URL Shortener نسخه‌های تا 3.0.7

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه‌ی URL Shortener به نسخه‌ای امن‌تر یا حذف آن در صورت عدم نیاز
• اعمال کنترل‌های دسترسی (ACL) برای محدودسازی عملکردهای حساس
• مسدودسازی دسترسی به پنل مدیریت از اینترنت
• فعال‌سازی لاگ‌گیری کامل برای APIها و بررسی دوره‌ای آن‌ها
• استفاده از SIEM برای تشخیص رفتارهای مشکوک و حملات احتمالی
• غیرفعال‌سازی عملکردهای غیرضروری در افزونه
• فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای حساب‌های مدیریتی وردپرس
• ارزیابی امنیتی دوره‌ای و بازبینی تنظیمات مجوزها و نقش‌های کاربری

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-28965

آسیب‌پذیری CVE-2025-48300 با شدت 9.1 از 10، یک ضعف امنیتی بحرانی در افزونه‌ی Groundhogg برای وردپرس است که ناشی از امکان بارگذاری بدون محدودیت فایل‌های خطرناک (CWE-434: Unrestricted Upload of File with Dangerous Type) می‌باشد. این نقص به مهاجم اجازه می‌دهد تا فایل‌هایی مانند وب‌شل را روی سرور بارگذاری کرده و کنترل کامل آن را در دست بگیرد. مهاجم می‌تواند از راه دور و از طریق شبکه اقدام کند (AV:N). پیچیدگی حمله پایین است (AC:L)، نیاز به دسترسی اولیه با سطح بالا دارد (PR:H) و نیازی به تعامل کاربر نیست (UI:N). دامنه تأثیر فراتر از مؤلفه آسیب‌پذیر است (S:C) و محرمانگی، یکپارچگی و دسترس‌پذیری به‌شدت آسیب می‌بیند (C:H/I:H/A:H).

محصولات آسیب‌پذیر

• افزونه‌ی Groundhogg نسخه‌های تا 4.2.1

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه‌ی Groundhogg به نسخه 4.2.2 یا بالاتر
• اعمال محدودیت نوع فایل‌های قابل بارگذاری و بررسی MIME-type
• استفاده از فایروال برنامه وب (WAF) برای جلوگیری از بارگذاری فایل‌های مخرب
• فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای حساب‌های مدیریتی وردپرس
• بررسی و پاک‌سازی فایل‌های بارگذاری‌شده در مسیرهای حساس سرور
• کنترل رفتارهای مشکوک با استفاده از ابزارهای SIEM و آنتی‌ویروس سمت سرور
• غیرفعال‌سازی قابلیت بارگذاری فایل برای نقش‌های غیرمدیریتی در وردپرس

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-48300

آسیب‌پذیری CVE-2025-34109 یک نقص امنیتی با شدت بالا (8.5 از 10) در محصولات شرکت Panda Security است. این آسیب‌پذیری در فایل اجرایی PSEvents.exe وجود دارد که به‌صورت ساعتی با سطح دسترسی SYSTEM اجرا می‌شود و فایل‌های DLL را از یک مسیر قابل‌نوشتن توسط کاربر بارگذاری می‌کند، بدون آن‌که اعتبار آن‌ها را بررسی کند. در صورت موفقیت‌آمیز بودن حمله، مهاجم با دسترسی محدود می‌تواند یک فایل DLL مخرب را در مسیر مورد نظر قرار دهد و به این ترتیب اجرای کد دلخواه با سطح دسترسی SYSTEM را انجام دهد که منجر به افزایش سطح دسترسی و کنترل کامل سیستم می‌شود.

بردار حمله برای این آسیب‌پذیری مطابق با نسخه 4.0 استاندارد CVSS به صورت زیر ارزیابی شده است:

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

بر اساس این بردار، حمله از راه دور و از طریق شبکه (AV:N) قابل انجام است و نیاز به هیچ سطحی از دسترسی اولیه یا احراز هویت ندارد (PR:N). بهره‌برداری از این ضعف با پیچیدگی پایین انجام می‌شود (AC:L) و نیازی به فناوری خاصی ندارد (AT:N)، اما به تعامل کاربر نیاز دارد (UI:A). این آسیب‌پذیری تأثیر بالایی بر سه مؤلفه اصلی امنیت؛ محرمانگی اطلاعات (VC:H)، تمامیت داده‌ها (VI:H) و دسترس‌پذیری سیستم (VA:H) دارد، در حالی که تأثیری بر زیرساخت‌های فنی (SC:N)، امنیت سایبری سطح بالا (SI:N) و ایمنی فیزیکی یا انسانی (SA:N) ندارد.

محصولات آسیب‌پذیر

• Panda Global Protection 2016
• Panda Antivirus Pro 2016
• Panda Small Business Protection

توصیه‌های امنیتی

1. ارتقاء محصولات Panda Security به نسخه 16.1.3 یا بالاتر.
2. محدود کردن دسترسی به مسیرهای قابل‌نوشتن توسط کاربر.
3. بررسی فایل‌های DLL بارگذاری‌شده.
4. استفاده از ابزارهای امنیتی برای تشخیص بارگذاری‌های مشکوک.
5. اعمال سیاست‌های سخت‌گیرانه در سطح فایل‌سیستم برای جلوگیری از نوشتن در مسیرهای حساس.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-34109

آسیب‌پذیری CVE-2025-34106 با شدت 8.7 از 10، یک نقص امنیتی مربوط به مؤلفه‌ای از شرکت CloudNova Technologies است که در زیرساخت‌های ابری عمومی برای به‌اشتراک‌گذاری منابع محاسباتی مورد استفاده قرار می‌گیرد. نقص اصلی این آسیب‌پذیری در نحوه احراز اعتبار درخواست‌های API نهفته است. این آسیب‌پذیری به مهاجم اجازه می‌دهد بدون احراز هویت، از راه دور و تنها با هدایت کاربر به یک لینک آلوده، کنترل کامل بر اطلاعات حساس یا منابع حیاتی سیستم هدف را به‌دست آورد. نرم‌افزار، بدون بررسی منبع درخواست، آن را اجرا کرده و به مهاجم امکان اجرای کد دلخواه می‌دهد. این نقص می‌تواند منجر به سرقت اطلاعات محرمانه، دستکاری داده‌ها و حتی اختلال در دسترسی به سرویس شود.

بردار حمله برای این آسیب‌پذیری مطابق با نسخهd 4.0 استاندارد CVSS به صورت زیر ارزیابی شده است:

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

بر اساس این بردار، حمله از راه دور و از طریق شبکه (AV:N) قابل انجام است و نیاز به هیچ سطحی از دسترسی اولیه یا احراز هویت ندارد (PR:N). بهره‌برداری از این ضعف با پیچیدگی پایین انجام می‌شود (AC:L) و نیازی به فناوری خاصی ندارد (AT:N)، اما به تعامل کاربر نیاز دارد (UI:A). این آسیب‌پذیری تأثیر بالایی بر سه مؤلفه اصلی امنیت، محرمانگی اطلاعات (VC:H)، تمامیت داده‌ها (VI:H) و دسترس‌پذیری سیستم (VA:H) دارد، در حالی که تأثیری بر زیرساخت‌های فنی (SC:N)، امنیت سایبری سطح بالا (SI:N) و ایمنی فیزیکی یا انسانی (SA:N) ندارد.

محصولات آسیب‌پذیر

نرم‌افزار PDF Shaper

• نسخه‌های آسیب‌پذیر: 3.5 و 3.6
• جزئیات آسیب‌پذیری: سرریز بافر در عملکرد تبدیل PDF به تصویر در PDFTools.exe
• تأثیر: اجرای کد دلخواه در صورت باز کردن فایل PDF مخرب توسط کاربر
• سیستم‌عامل‌های تحت تأثیر: Windows XP, 7, 8 و 10

توصیه‌های امنیتی

• به‌روزرسانی فوری نرم‌افزار PDF Shaper به نسخه‌های امن‌تر یا حذف نسخه‌های آسیب‌پذیر (3.5 و 3.6)
• استفاده از ابزارهای EDR یا IPS برای شناسایی و جلوگیری از اجرای کدهای مخرب
• محدود کردن دسترسی کاربران به فایل‌های PDF ناشناس یا مشکوک
• آموزش کاربران برای عدم باز کردن فایل‌های PDF از منابع نامعتبر
• فعال‌سازی قابلیت‌های امنیتی سیستم‌عامل مانند DEP و ASLR
• بررسی فایل‌های PDF با آنتی‌ویروس قبل از اجرا
• بررسی رفتارهای مشکوک در فرآیند PDFTools.exe
• اعمال سیاست‌های سخت‌گیرانه در فایروال برای جلوگیری از ارتباط با دامنه‌های مشکوک
• تهیه نسخه پشتیبان منظم از اطلاعات حساس برای مقابله با حملات احتمالی
• پیاده‌سازی فرآیند مدیریت آسیب‌پذیری در سازمان برای شناسایی و رفع سریع تهدیدات

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-34106

VMware ESXi، Workstation و Fusion دارای یک آسیب‌پذیری از نوع heap-overflow در کنترلر PVSCSI (Paravirtualized SCSI) هستند که منجر به نوشتن خارج از محدوده می‌شود. یک عامل مخرب که دارای دسترسی مدیریتی محلی در یک ماشین مجازی است، می‌تواند از این آسیب‌پذیری سوءاستفاده کرده و کدی را به‌عنوان فرآیند VMX ماشین مجازی که بر روی میزبان اجرا می‌شود، اجرا کند.

در ESXi، بهره‌برداری از این آسیب‌پذیری درون محیط ایزوله‌شده VMX محدود می‌ماند و تنها در پیکربندی‌هایی قابل بهره‌برداری است که تحت پشتیبانی رسمی نیستند. اما در Workstation و Fusion، این آسیب‌پذیری ممکن است منجر به اجرای کد مخرب بر روی سیستم میزبان شود؛ یعنی همان سیستمی که نرم‌افزار Workstation یا Fusion روی آن نصب شده است.

محصولات آسیب‌پذیر

• VMware ESXi
• Workstation
• Fusion

توصیه‌های امنیتی

کاربران توصیه می‌شود برای رفع آسیب‌پذیری، وصله‌های ارائه‌شده در لینک‌های زیر را اعمال کنند:

• VMware ESXi
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u3f-release-notes.html
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u2e-release-notes.html
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-70u3w-release-notes.html

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-41238

[2]https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdviso…

مادربردهای متعددی از شرکت Gigabyte دارای فریم‌ور UEFI هستند که آسیب‌پذیری‌های امنیتی خطرناکی در آن‌ها شناسایی شده است. این ضعف‌ها به مهاجمان امکان می‌دهند بدافزارهای سطح پایین مانند بوت‌کیت‌ها را روی سیستم نصب کنند؛ بدافزارهایی که نه تنها برای سیستم‌عامل قابل مشاهده نیستند، بلکه حتی پس از نصب مجدد ویندوز نیز همچنان باقی می‌مانند.

بوت‌کیت نوعی بدافزار مدرن است که توسط مهاجمان جهت پیوست کردن نرم‌افزارهای مخرب به سیستم‌های رایانه‌ای استفاده می‌شود. این بدافزارها تهدیدات جدی امنیتی برای کسب‌وکار سازمان محسوب می‌شوند و اغلب شامل ابزارهایی از نوع روت‌کیت برای دور زدن سیستم‌های شناسایی هستند. این حملات، رابط UEFI را هدف قرار می‌دهند، که نرم‌افزار رابط بین سیستم‌عامل کامپیوتر و میان‌افزار سخت‌افزاری آن است. میان‌افزار UEFI به جای هارد دیسک، روی مادربرد ذخیره می‌شود و از این رو، با ابزارهای معمولی دیسک قابل پاکسازی نیست.

مهاجمان با داشتن دسترسی مدیریتی — چه به‌صورت محلی و چه از راه دور — می‌توانند کد مخرب را در System Management Mode (SMM) اجرا کنند. این محیط، که در هنگام بوت فعال می‌شود، سطح دسترسی بسیار بالایی به سخت‌افزار دارد و از دید سیستم‌عامل جداست. به همین دلیل، بدافزارهایی که در این سطح عمل می‌کنند، قادرند تمام مکانیزم‌های امنیتی سنتی را دور بزنند.

در حالت عادی، فریم‌ور UEFI با ویژگی Secure Boot از امنیت بالایی برخوردار است؛ زیرا از طریق امضای دیجیتال تضمین می‌کند تنها کدهای معتبر و مورد اعتماد در زمان بوت اجرا شوند. با این حال، برخی بدافزارهای پیشرفته مانند BlackLotus، CosmicStrand، MosaicAggressor، MoonBounce و LoJax موفق شده‌اند با سوءاستفاده از ضعف‌های سطح پایین، در هر بار بوت سیستم، کد مخرب خود را اجرا کنند — بدون اینکه توسط سیستم‌عامل یا آنتی‌ویروس شناسایی شوند.

این آسیب‌پذیری‌ها خطر نفوذ پایدار، نامرئی و بسیار قدرتمند را ایجاد می‌کنند که مقابله با آن‌ها بدون به‌روزرسانی فریم‌ور و اقدامات پیشگیرانه سخت خواهد بود.

چهار آسیب‌پذیری جدی در فریم‌ور مادربردهای Gigabyte توسط شرکت امنیتی Binarly شناسایی شده‌اند که همگی دارای شدت بالا با امتیاز 8.2 هستند. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند به System Management Mode (SMM) دسترسی پیدا کرده و کنترل کامل سطح پایین سیستم را در دست بگیرند. جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2025-7029: نقص در تابع OverClockSmiHandler که باعث افزایش سطح دسترسی و اجرای کد در محیط SMM می‌شود.
• CVE-2025-7028: ضعف در تابع SmiFlash که امکان خواندن و نوشتن در حافظه محافظت‌شده SMRAM را فراهم می‌کند؛ مسیری مستقیم برای نصب بدافزار.
• CVE-2025-7027: مهاجم از طریق این آسیب‌پذیری می‌تواند محتوای دلخواهی را در SMRAM بنویسد و با دستکاری فریم‌ور، کنترل مداوم بر سیستم داشته باشد.
• CVE-2025-7026: این آسیب‌پذیری امکان نوشتن دلخواه در حافظه SMRAM را فراهم می‌کند. مهاجم با سوءاستفاده از آن می‌تواند به سطح دسترسی SMM دست یابد و کد مخرب را در فریم‌ور سیستم قرار دهد. این نوع آلودگی به‌صورت پایدار، مخفی و بسیار دشوار برای شناسایی و پاک‌سازی باقی می‌ماند.

بررسی‌ها نشان می‌دهد که بیش از 240 مدل مادربرد تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. فریم‌ور این دستگاه‌ها بین اواخر سال 2023 تا اواسط آگوست 2024 به‌روزرسانی شده است، اما بسیاری از آن‌ها همچنان فاقد وصله‌های امنیتی لازم هستند.

شرکت American Megatrends Inc. (AMI) به عنوان توسعه‌دهنده اصلی فریم‌ور، پس از دریافت گزارش، آسیب‌پذیری‌ها را اصلاح کرده است؛ با این حال، برخی تولیدکنندگان از جمله Gigabyte هنوز این به‌روزرسانی‌ها را در محصولات خود اعمال نکرده‌اند.

توصیه‌های امنیتی

اگرچه ریسک این آسیب‌پذیری‌ها برای کاربران عادی پایین در نظر گرفته می‌شود، اما برای کاربران در محیط‌های حساس و حیاتی، توصیه می‌شود از ابزار Risk Hunt شرکت Binarly استفاده کنند که به‌صورت رایگان امکان شناسایی چهار آسیب‌پذیری مذکور را فراهم می‌کند.

همچنین چون کامپیوترهای ساخته‌شده توسط برندهای مختلفی ممکن است از مادربردهای Gigabyte استفاده کنند، کاربران باید به‌طور مداوم وضعیت انتشار به‌روزرسانی فریم‌ور را بررسی کرده و آن را در اسرع وقت نصب کنند.

شرکت Gigabyte یک اطلاعیه امنیتی منتشر کرده که سه مورد از چهار آسیب‌پذیری کشف‌شده توسط Binarly را پوشش می‌دهد:
https://www.gigabyte.com/Support/Security/2302

منبع خبر:

[1]https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-byp…

آسیب‌پذیری‌های CVE-2025-5393 و CVE-2025-5394 با شدت 9.1 و 9.8 مربوط به نقص امنیتی بحرانی در قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone هستند که به دلیل صحت‌سنجی ناکافی مسیر فایل در تابع alone_import_pack_restore_date، آسیب‌پذیر به حذف و آپلود فایل دلخواه در نسخه آسیب‌پذیر و نسخه‌های قبلی آن می‌باشد. این موضوع به مهاجمان بدون احراز هویت امکان می‌دهد تا فایل‌ها را به‌صورت دلخواه در سرور حذف کنند که می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution) شود (مانند wp-config.php).

محصولات تحت تأثیر

محصول تحت تأثیر این آسیب‌پذیری، قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone می‌باشد.

توصیه‌های امنیتی

• به‌روزرسانی قالب: نصب آخرین نسخه قالب یا وصله امنیتی رسمی ارائه‌شده توسط سازنده.
• محدودسازی دسترسی‌ها و استفاده از سیاست‌های حداقل دسترسی.
• آموزش کاربران به عدم بازکردن فایل‌ها یا لینک‌های مشکوک.
• استفاده از آنتی‌ویروس‌های به‌روز.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-5393

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-5394

دو آسیب‌پذیری بحرانی در افزونه‌ی HT Contact Form Widget برای وردپرس شناسایی شده است که امکان بارگذاری فایل دلخواه و اجرای حملات مخرب را برای نفوذگران فراهم می‌کند. در ادامه، این دو آسیب‌پذیری معرفی می‌شود:

1-1 آسیب‌پذیری CVE-2025-7340

آسیب‌پذیری شناسایی‌شده در افزونه‌ی HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder برای وردپرس با شدت 9.8، تمامی نسخه‌های تا نسخه‌ی 2.2.1 را تحت تأثیر قرار می‌دهد. این ضعف امنیتی به دلیل نبود بررسی نوع فایل در تابع temp_file_upload رخ می‌دهد. در نتیجه، مهاجمان غیرمجاز (بدون احراز هویت) می‌توانند فایل‌هایی با پسوند و محتوای دلخواه خود را روی سرور سایت آسیب‌پذیر آپلود کنند. چنین قابلیتی این امکان را به مهاجم می‌دهد که فایل‌های مخربی مانند اسکریپت‌های PHP را در مسیرهای قابل اجرا بارگذاری کرده و در نهایت به اجرای کد از راه دور روی سرور قربانی دست یابد. این نوع آسیب‌پذیری به‌شدت خطرناک است و می‌تواند به تصرف کامل وب‌سایت منجر شود. برای جلوگیری از سوءاستفاده، به کاربران این افزونه توصیه می‌شود در اسرع وقت به نسخه‌ای امن و به‌روز مهاجرت کرده یا موقتاً افزونه را تا زمان انتشار وصله امنیتی توسط توسعه‌دهنده غیرفعال نمایند.

بر طبق بردار حمله، برای بهره‌برداری از این آسیب‌پذیری، مهاجم از طریق شبکه به سامانه مورد نظر دسترسی پیدا می‌کند (AV:N). این حمله دارای پیچیدگی پایینی است (AC:L) و نیازمند هیچ‌گونه امتیاز یا دسترسی قبلی در سیستم نیست (PR:N). همچنین، مهاجم برای موفقیت حمله نیازی به تعامل با کاربر هدف ندارد (UI:N). این آسیب‌پذیری در دامنه تغییرناپذیر سیستم قرار دارد (S:U) و بهره‌برداری موفق از آن می‌تواند به شدت محرمانگی (C:H)، یکپارچگی (I:H) و دسترس‌پذیری (A:H) سامانه را تحت تأثیر قرار دهد و امکان اجرای کد دلخواه و کنترل کامل وب‌سایت را فراهم کند.

1-2 آسیب‌پذیری CVE-2025-7341

آسیب‌پذیری دیگر که به‌صورت مشابه به نقص در فرآیند بارگذاری فایل مرتبط است و بهره‌برداری از آن می‌تواند موجب افزایش میزان دسترسی مهاجم و نفوذ گسترده‌تر شود. شدت این آسیب‌پذیری 9.1 (بسیار بالا) بوده که حاکی از خطر جدی برای امنیت سایت‌ها و کاربران آنهاست. این آسیب‌پذیری ناشی از نبود اعتبارسنجی مسیر فایل در تابع ()temp_file_delete است. در نتیجه، مهاجم غیرمجاز می‌تواند فایل‌های دلخواه موجود در سرور را حذف کند. این ضعف امنیتی ممکن است به حذف فایل‌های حیاتی و حساس مانند wp-config.php منجر شود. در چنین شرایطی، وب‌سایت ممکن است در مرحله بارگذاری مجدد، به‌اشتباه یک نصب جدید وردپرس را شروع کند یا امکان بارگذاری اسکریپت مخرب فراهم شود که به اجرای کد از راه دور منتهی می‌شود.

بر طبق بردار حمله، این آسیب‌پذیری به مهاجم اجازه می‌دهد تا از طریق شبکه (AV:N) و با پیچیدگی پایین (AC:L) حمله خود را انجام دهد. مهاجم برای انجام این حمله نیازی به امتیاز یا دسترسی خاصی در سیستم هدف ندارد (PR:N) و هیچ تعامل کاربری نیز برای موفقیت حمله لازم نیست (UI:N). دامنه این آسیب‌پذیری در خود سیستم باقی می‌ماند و تغییری در محدوده امنیتی ایجاد نمی‌شود (S:U). بهره‌برداری موفق از این نقص می‌تواند به شدت یکپارچگی (I:H) و دسترس‌پذیری (A:H) سیستم را تحت تأثیر قرار دهد، اگرچه تأثیری بر محرمانگی (C:N) ندارد، اما می‌تواند منجر به دستکاری داده‌ها و از کار انداختن سرویس شود.

محصولات آسیب‌پذیر

• افزونه‌ی HT Contact Form Widget نسخه‌های پیش از 2.2.2 روی وردپرس که قابلیت ساخت فرم‌های تماس و مدیریت فایل‌ها را فراهم می‌کند.

توصیه‌های امنیتی

• در صورت استفاده از نسخه‌های تا 2.2.1، افزونه را موقتاً غیرفعال کرده و در صورت انتشار وصله، فوراً به نسخه امن ارتقاء دهید.
• از طریق تنظیمات سرور، دسترسی به فایل‌های حیاتی مانند wp-config.php را محدود نمایید تا امکان اجرای فایل یا حذف آن وجود نداشته باشد.
• از یک فایروال برنامه‌وب (WAF) استفاده کنید تا درخواست‌های مخرب مرتبط با بارگذاری و حذف فایل را مسدود کند.
• با استفاده از افزونه‌های امنیتی وردپرس، فایل‌های سایت را به‌صورت منظم اسکن و تغییرات مشکوک را بررسی کنید.
• به‌طور دوره‌ای از فایل‌ها و پایگاه داده سایت پشتیبان بگیرید تا در صورت حمله، بتوانید سریعاً سایت را بازیابی کنید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7340

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-7341