FreePBX یک رابط کاربری وب متن‌باز برای مدیریت سیستم تلفنی Asterisk است که به‌طور گسترده در شرکت‌ها، مراکز تماس و سازمان‌ها برای راه‌اندازی سانترال‌های تحت شبکه، مدیریت داخلی‌ها، خطوط تلفن، صف‌ها و ضبط مکالمات استفاده می‌شود. اخیراً در ماژول‌های FreePBX آسیب‌پذیری CVE-2025-57819 با شدت 10 شناسایی شده است که بهره‌برداری از آن می‌تواند منجر به کنترل کامل سیستم، نصب بدافزار، شنود تماس‌ها، تغییر تنظیمات حیاتی مرکز تلفن و حتی ایجاد حساب‌های مدیریتی مخفی شود.

جزئیات آسیب‌پذیری

این آسیب‌پذیری یک ضعف امنیتی بسیار جدی در ماژول‌های FreePBX نسخه‌های 15، 16 و 17 است که به دلیل اعتبارسنجی ناکافی داده‌های ورودی کاربر رخ می‌دهد. در ماژول آسیب‌پذیر، داده‌هایی که از سمت کاربر دریافت می‌شود بدون انجام فرآیند فیلترسازی به‌طور مستقیم وارد کوئری‌های پایگاه داده یا توابع حساس می‌گردد که باعث بروز دو تهدید زیر می‌شود:

1. دور زدن احراز هویت:
   مهاجم می‌تواند با ارسال داده‌های دستکاری‌شده به پارامترهای خاص، فرآیند ورود به رابط مدیریت FreePBX را دور بزند و بدون داشتن رمز عبور یا دسترسی معتبر، وارد بخش مدیریت شود.

2. تزریق SQL منجر به اجرای کد:
   پس از دور زدن احراز هویت، مهاجم می‌تواند کوئری‌های دلخواه خود را به پایگاه داده FreePBX تزریق کند. بنابراین مهاجم می‌تواند:

   • بدون نیاز به احراز هویت به رابط مدیریتی FreePBX دسترسی پیدا کند.

   • کاربران جدید با سطح دسترسی ادمین ایجاد کند.

   • تنظیمات تماس‌ها و مسیرهای داخلی/خارجی را تغییر دهد.

   • ماژول‌های مخرب یا کدهای PHP تزریق کند و نهایتاً با اجرای کد از راه دور به سرور راه یابد.

بردار CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H مشخص می‌کند این آسیب‌پذیری از طریق شبکه، بدون نیاز به احراز هویت یا تعامل کاربر و با پیچیدگی پایین قابل بهره‌برداری است و می‌تواند منجر به نقض محرمانگی، یکپارچگی داده‌ها و توقف کامل دسترس‌پذیری سرویس گردد.

نسخه‌های تحت‌تأثیر

• FreePBX نسخه‌ی 15 پایین‌تر از 15.0.66
• FreePBX نسخه‌ی 16 پایین‌تر از 16.0.89
• FreePBX نسخه‌ی 17 پایین‌تر از 17.0.3

توصیه‌های امنیتی

• به‌روزرسانی نسخه‌های آسیب‌پذیر FreePBX (15 ،16 و 17) به نسخه‌های امن (15.0.66، 16.0.89 و 17.0.3).
• محدودسازی دسترسی به رابط مدیریت فقط از طریق IPهای مجاز.
• کنترل فایل‌ها و اسکریپت‌های مشکوک در مسیرهای وب مانند /var/www/html/.
• بررسی لاگ‌های FreePBX و Apache/Nginx برای شناسایی درخواست‌های POST مشکوک به modular.php.
• بررسی کاربران پایگاه داده برای شناسایی حساب‌های غیرمجاز.
• غیرفعال کردن ماژول‌ها و سرویس‌های غیرضروری در FreePBX.
• استفاده از مکانیزم‌های احراز هویت چندمرحله‌ای برای حساب‌های مدیریتی.
• رمزگذاری قوی برای پایگاه داده و اعمال دسترسی‌های محدود به آن.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-57819

[2]https://euvd.enisa.europa.eu/vulnerability/CVE-2025-57819

[3]https://www.cve.org/CVERecord?id=CVE-2025-57819

[4]https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h

[5]https://www.cvedetails.com/cve/CVE-2025-57819/

آسیب‌پذیری CVE-2025-41702 با شدت 9.8 یک ضعف امنیتی بحرانی در رابط وب EgOS WebGUI است که به دلیل وجود کلید مخفی JWT به‌صورت Hard-Coded در بخش Backend ایجاد شده است. این کلید برای کاربر پیش‌فرض قابل مشاهده بوده و باعث می‌شود یک مهاجم از راه دور بدون نیاز به احراز هویت بتواند توکن‌های معتبر HS256 تولید کند. در نتیجه، مهاجم قادر خواهد بود فرآیندهای احراز هویت و مجوزدهی را دور بزند و به داده‌ها و بخش‌های حساس سیستم دسترسی غیرمجاز پیدا کند. این آسیب‌پذیری می‌تواند منجر به افشای اطلاعات محرمانه، تغییر پیکربندی‌ها و کنترل کامل سیستم شود.

محصولات تحت‌تأثیر

• EgOS WebGUI (نسخه‌هایی که کلید JWT در Backend آن‌ها Hard-Coded قرار دارد)

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخه‌ای که این آسیب‌پذیری برطرف شده است.
• تغییر و بازتولید کلید JWT با مقادیر تصادفی و امن.
• حذف هرگونه کلید Hard-Coded از کد Backend.
• اعمال محدودیت دسترسی به کاربر پیش‌فرض یا غیرفعال‌سازی آن.
• مانیتورینگ لاگ‌ها و شناسایی هرگونه استفاده مشکوک از توکن‌های JWT.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-741702

افزونه‌ی Event List برای مدیریت و نمایش رویدادها در سایت استفاده می‌شود. با استفاده از این افزونه می‌توان رویدادهایی مانند جلسات، کلاس‌ها یا کنفرانس‌ها را ایجاد کرده و در یک لیست به بازدیدکنندگان نمایش داد. این افزونه امکان تعریف تاریخ، زمان، توضیحات و دسته‌بندی برای هر رویداد را دارد و می‌تواند رویدادهای آینده یا گذشته را جداگانه نشان دهد.

این افزونه در تمامی نسخه‌های 2.0.4 و قبل از آن دارای آسیب‌پذیری ارتقای سطح دسترسی است. دلیل این مشکل آن است که افزونه به‌درستی قابلیت‌های کاربر را پیش از به‌روزرسانی پروفایل در تابع el_update_profile() اعتبارسنجی نمی‌کند. این موضوع باعث می‌شود مهاجمان احراز هویت‌شده با سطح دسترسی Subscriber و بالاتر بتوانند سطح دسترسی خود را به مدیر تغییر دهند.

محصولات آسیب‌پذیر

• نسخه‌های 2.0.4 و قبل از آن

توصیه‌های امنیتی

• به کاربران توصیه می‌شود در صورت استفاده از این افزونه، آن را به نسخه‌ی 2.0.5 یا نسخه‌های بالاتر به‌روزرسانی نمایند.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-6366

آسیب‌پذیری CVE-2025-8627 با شدت بالا (امتیاز 8.7 از 10) در دستگاه هوشمند TP-Link KP303 Smartplug شناسایی شده است. این نقص امنیتی به مهاجم اجازه می‌دهد بدون احراز هویت، دستورات پروتکلی خاصی را به دستگاه ارسال کند که می‌تواند منجر به خاموش شدن ناخواسته دستگاه و نشت اطلاعات حساس شود. این آسیب‌پذیری با پیچیدگی پایین (AC:L) از طریق شبکه مجاور (AV:A) قابل بهره‌برداری است و مهاجم بدون نیاز به احراز هویت (AT:N)، مجوز دسترسی (PR:N) یا تعامل با کاربر (UI:N) می‌تواند حمله کند. این نقص منجر به افشای اطلاعات حساس (VC:H)، آسیب به تمامیت داده‌ها (VI:H) و اختلال در دسترس‌پذیری (VA:H) می‌شود، اما تأثیری بر سیستم‌های زنجیره‌ای ندارد (SC:N/SI:N/SA:N).

محصولات آسیب‌پذیر

• نسخه‌های قبل از 1.1.0 از TP-Link KP303 (US) Smartplug

توصیه‌های امنیتی

• به‌روزرسانی Firmware دستگاه به آخرین نسخه‌ی منتشرشده
• محدودسازی دسترسی شبکه‌ای به دستگاه با تنظیمات فایروال یا روتر
• بررسی رفتار شبکه برای شناسایی دستورات مشکوک
• بررسی لاگ‌های دستگاه و آگاه‌سازی کاربران نسبت به تهدیدات IoT

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8627

آسیب‌پذیری CVE-2025-9118 با شدت 10 یک ضعف امنیتی جدی از نوع Path Traversal در فرآیند نصب پکیج‌های NPM مربوط به سرویس Google Cloud Dataform است. این نقص به مهاجم اجازه می‌دهد از طریق یک فایل مخرب package.json به فایل‌های خارج از محدوده مجاز دسترسی پیدا کرده و آن‌ها را بخواند یا بازنویسی کند. در محیط‌های چندمشتری (multi-tenant) این موضوع می‌تواند منجر به افشای داده‌های محرمانه، تغییر ساختار پروژه‌ها و حتی حملات زنجیره تأمین نرم‌افزار شود. بهره‌برداری از این آسیب‌پذیری نیاز به احراز هویت ندارد و می‌تواند از راه دور انجام شود؛ بنابراین سطح تهدید آن بسیار بالا بوده و در دسته‌بندی Critical قرار می‌گیرد.

محصولات تحت‌تأثیر

• Google Cloud Dataform

تمامی نسخه‌های سرویس Dataform که فرآیند نصب پکیج‌های NPM در آن‌ها بدون اعمال وصله‌های امنیتی انجام می‌شود، آسیب‌پذیر هستند.

توصیه‌های امنیتی

• به‌روزرسانی سرویس Google Cloud Dataform به آخرین نسخه وصله‌شده
• جلوگیری از نصب پکیج‌های ناشناس یا غیرقابل اعتماد
• ایزوله‌سازی پروژه‌ها و محیط‌ها برای کاهش خطر Cross-Repository
• مانیتورینگ لاگ‌ها و فعالیت‌های نصب NPM برای شناسایی رفتار مشکوک
• استفاده از Dependency Scanning و npm audit جهت بررسی امنیت پکیج‌ها
• اعمال حداقل سطح دسترسی (Least Privilege) برای کاربران و سرویس‌ها
• پیاده‌سازی Code Review اجباری قبل از اضافه‌شدن dependency جدید
• استفاده از Artifact Registry یا مخزن امن داخلی برای مدیریت پکیج‌ها

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-9118

آسیب‌پذیری CVE-2025-9379 با شدت بالا (امتیاز 8.6 از 10) در یکی از محصولات شرکت Belkin شناسایی شده است. این نقص امنیتی در بخش Firmware Update Handler از روتر Belkin AX1800 رخ داده و ناشی از اعتبارسنجی ناکافی اصالت داده‌ها در مؤلفه مذکور است (CWE-345). این حمله از طریق شبکه قابل بهره‌برداری است (AV:N)، پیچیدگی پایینی دارد (AC:L) و نیاز به شرایط خاص (AT:N)، سطح دسترسی بالا (PR:H) و تعامل کاربر (UI:N) ندارد. تأثیر آن بر محرمانگی، تمامیت و دسترس‌پذیری بالا است (VC:H/VI:H/VA:H) و بر سیستم‌های جانبی تأثیری ندارد (SC:N/SI:N/SA:N).

محصولات آسیب‌پذیر

• Belkin AX1800 WiFi 6 Router با نسخه‌ی Firmware 1.1.00.016

توصیه‌های امنیتی

• به‌روزرسانی Firmware به آخرین نسخه‌ی منتشرشده توسط Belkin
• محدودسازی دسترسی به پنل مدیریت با فایروال یا ACL
• غیرفعال‌سازی به‌روزرسانی از راه دور
• استفاده از رمز عبور قوی و غیرپیش‌فرض
• ایزوله‌سازی دستگاه در شبکه با VLAN یا سگمنت جدا
• آموزش تیم فنی و امنیتی
• بررسی لاگ‌ها و گزارش‌های امنیتی برای شناسایی بهره‌برداری احتمالی

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-54301

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-9379

Langflow یک ابزار متن‌باز برای طراحی و استقرار سریع جریان‌های کاری و عامل‌های هوش مصنوعی بدون کدنویسی است که امکان ترکیب مدل‌های زبانی، APIها و اجزای مختلف پردازشی را از طریق یک رابط کاربری گرافیکی و خط فرمان فراهم می‌کند. اخیراً یک آسیب‌پذیری نقص ارتقای سطح دسترسی با شناسه‌ی CVE-2025-57760 و شدت 8.8 در کانتینرهای Langflow شناسایی شده است که به یک حساب کاربری عادی امکان می‌دهد مجوز دسترسی خود را تا سطح مدیر افزایش دهد.

جزئیات آسیب‌پذیری

در این آسیب‌پذیری، اگر کاربری که در محیط به‌صورت عادی ثبت‌نام کرده و دسترسی مدیر ندارد بتواند به اجرای کد از راه دور دست یابد، می‌تواند از دستور داخلی خط فرمان (Langflow superuser) سوءاستفاده کند. اجرای این دستور به مهاجم امکان می‌دهد یک حساب کاربری مدیر ایجاد کند و از آنجا که این دستور با متغیر محیطی LANGFLOW_ENABLE_SUPERUSER_CLI که به‌طور پیش‌فرض True است کنترل می‌شود، دسترسی کامل سامانه در اختیار مهاجم قرار می‌گیرد. بنابراین حتی یک حساب عادی که از طریق رابط کاربری ساخته شده باشد می‌تواند با دور زدن کنترل‌های سطح دسترسی به سطح مدیر برسد.

بردار CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H نشان می‌دهد این آسیب‌پذیری از طریق دسترسی از راه دور و بدون نیاز به تعامل کاربر قابل بهره‌برداری است. مهاجم تنها با داشتن سطح دسترسی محدود در محیط برنامه و امکان اجرای کد می‌تواند کنترل کامل سامانه را به‌دست گیرد. این موضوع منجر به نقض محرمانگی، صحت و دسترس‌پذیری داده‌ها و سرویس‌ها شده و امکان نفوذ و مدیریت کامل محیط Langflow را برای مهاجم فراهم می‌کند.

نسخه‌های تحت‌تأثیر

• نسخه‌ی 1.5.0 و تمامی نسخه‌های قبل از آن تحت تأثیر این آسیب‌پذیری قرار دارند و تا زمان انتشار گزارش، نسخه‌ی امنی برای آن منتشر نشده است.

توصیه‌های امنیتی

• به‌محض انتشار نسخه‌ی امن، به‌روزرسانی انجام گیرد.
• غیرفعال‌سازی قابلیت ایجاد حساب کاربری superuser در محیط CLI با مقداردهی متغیر محیطی LANGFLOW_ENABLE_SUPERUSER_CLI به FALSE.
• تا زمان ارائه نسخه‌ی امن، دسترسی به Langflow و دسترسی کاربران به کانتینرها و محیط اجرای کد به کاربران مطمئن محدود گردد.

منابع خبر:

[1]https://github.com/langflow-ai/langflow/security/advisories/GHSA-4gv9-mp8m-592r

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-57760

[3]https://www.cve.org/CVERecord?id=CVE-2025-57760

[4]https://www.cvedetails.com/cve/CVE-2025-57760

دو آسیب‌پذیری بحرانی CVE-2025-5821 و CVE-2025-7642 با شدت 9.8 از 10 در افزونه‌های وردپرس شناسایی شده‌اند. هر دو آسیب‌پذیری از نوع دور زدن احراز هویت (CWE-288) بوده و مهاجمان را قادر می‌سازند بدون مجوز به حساب‌های مدیریتی دسترسی پیدا کنند. این حملات از طریق شبکه قابل بهره‌برداری هستند (AV:N)، پیچیدگی پایینی دارند (AC:L) و مهاجم نیازی به مجوز اولیه یا تعامل کاربر ندارد (PR:N/UI:N). دامنه‌ی اجرا محلی است (S:U) و بر محرمانگی، تمامیت و دسترس‌پذیری تأثیر شدید می‌گذارند (C:H/I:H/A:H).

1-1. آسیب‌پذیری CVE-2025-5821

این آسیب‌پذیری در افزونه Case Theme User و در تابع ()facebook_ajax_login_callback رخ داده و ناشی از اعتبارسنجی ناقص اطلاعات کاربری است. مهاجم می‌تواند با در اختیار داشتن ایمیل مدیر سایت و یک حساب کاربری معمولی، فرآیند احراز هویت را دور زده و به پنل مدیریت وردپرس دسترسی پیدا کند.

1-2. آسیب‌پذیری CVE-2025-7642

این آسیب‌پذیری در افزونه Simpler Checkout رخ می‌دهد. در تابع ()simplerwc_woocommerce_order_created هنگام پردازش سفارش‌ها، هویت کاربر به‌درستی تأیید نمی‌شود. مهاجم با دانستن شناسه‌ی یک سفارش معتبر می‌تواند بدون تعامل با کاربر وارد حساب مدیریتی شود.

محصولات آسیب‌پذیر

2-1. آسیب‌پذیری CVE-2025-5821

• تمامی نسخه‌های افزونه‌ی Case Theme User تا نسخه‌ی 1.0.3

2-2. آسیب‌پذیری CVE-2025-7642

• نسخه‌های 0.7.0 تا 1.1.9 از افزونه‌ی Simpler Checkout

توصیه‌های امنیتی

• حذف یا غیرفعال‌سازی فوری افزونه‌های آسیب‌پذیر
• بررسی لاگ‌های ورود برای شناسایی ورودهای مشکوک
• استفاده از احراز هویت دومرحله‌ای برای حساب‌های حساس
• جایگزینی افزونه‌ها با ابزارهای معتبر و امن‌تر
• آموزش مدیران سایت در زمینه حملات احراز هویت و روش‌های مقابله

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-5821

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-7642

آسیب‌پذیری CVE-2022-31491 با شدت 10 یک نقص بحرانی از نوع اجرای کد از راه دور (RCE) در نرم‌افزارهای مدیریت UPS شرکت Voltronic از جمله ViewPower ،ViewPower Pro و PowerShield Netguard است. این ضعف امنیتی در رابط وب مربوط به تشخیص خاموشی UPS وجود دارد و به مهاجم اجازه می‌دهد بدون نیاز به هیچ‌گونه احراز هویت، کد مخرب خود را روی سرور اجرا کند. پیچیدگی حمله بسیار پایین است و حتی در نبود یا خاموش بودن UPS نیز قابل بهره‌برداری است. سوءاستفاده موفق می‌تواند منجر به دسترسی کامل مهاجم به سرور، سرقت یا تغییر داده‌ها، اجرای بدافزار و حتی از کار انداختن سیستم‌های حیاتی شود.

محصولات تحت‌تأثیر

• Voltronic Power ViewPower نسخه‌های تا 1.04-24215
• Voltronic ViewPower Pro نسخه‌های تا 2.0-22165
• PowerShield Netguard نسخه‌های قبل از 1.04-23292

توصیه‌های امنیتی

• به‌روزرسانی فوری نرم‌افزارها به آخرین نسخه‌های امن منتشرشده توسط Voltronic یا PowerShield
• ایزوله‌سازی شبکه‌ای: رابط وب نرم‌افزارهای مدیریت UPS را در معرض اینترنت عمومی قرار ندهید
• محدودسازی دسترسی به رابط وب فقط برای مدیران و از طریق شبکه داخلی یا VPN امن
• استفاده از فایروال یا WAF برای فیلتر کردن درخواست‌های مشکوک به سمت رابط وب
• مانیتورینگ و لاگینگ فعال جهت شناسایی دسترسی‌های غیرمجاز یا تلاش‌های حمله
• اجرای اصل حداقل دسترسی (Least Privilege) برای حساب‌های کاربری و سرویس‌ها
• در صورت عدم امکان وصله فوری، غیرفعال‌سازی یا محدود کردن سرویس‌های غیرضروری روی سیستم میزبان

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2022-31491

آسیب‌پذیری CVE-2025-53795 با شدت بحرانی (9.1 از 10) در نرم‌افزار Microsoft PC Manager شناسایی شده است. این نقص امنیتی ناشی از اعتبارسنجی نادرست مجوزها (CWE-285) بوده و به مهاجم اجازه می‌دهد بدون داشتن هیچ‌گونه دسترسی اولیه، از طریق شبکه اقدام به افزایش سطح دسترسی (Privilege Escalation) کند. این حمله از طریق شبکه قابل بهره‌برداری است (AV:N) و مهاجم برای سوءاستفاده از آن نیازی به تعامل با کاربر (UI:N) یا داشتن مجوز دسترسی (PR:N) ندارد؛ همچنین پیچیدگی حمله پایین است (AC:L) و در دامنه‌ی محلی اجرا می‌شود (S:U) و می‌تواند منجر به افشای اطلاعات حساس (C:H) و خدشه‌دار شدن تمامیت سیستم (I:H) شود، اما تأثیری بر دسترس‌پذیری ندارد (A:N).

محصولات آسیب‌پذیر

نسخه‌های خاصی از Microsoft PC Manager که در محیط‌های سازمانی یا خانگی استفاده می‌شوند، در برابر این آسیب‌پذیری حساس هستند.

توصیه‌های امنیتی

• به‌روزرسانی فوری نرم‌افزار به آخرین نسخه‌ی منتشرشده توسط مایکروسافت
• محدودسازی دسترسی به PC Manager از طریق فایروال‌ها و لیست‌های کنترل دسترسی (ACL)
• استفاده از ابزارهای نظارت بر رفتار سیستم برای شناسایی فعالیت‌های مشکوک
• آموزش تیم‌های فنی در زمینه حملات افزایش سطح دسترسی و نحوه مقابله با آن
• بررسی لاگ‌ها و گزارش‌های امنیتی برای شناسایی بهره‌برداری احتمالی

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53795