افزونه‌ی Copypress Rest API برای وردپرس قابلیت‌های API REST را گسترش می‌دهد و امکان مدیریت پست‌ها، دسته‌ها، برچسب‌ها و نوع‌های پست سفارشی را از طریق endpointهای اختصاصی فراهم می‌کند.

در نسخه‌های 1.1 تا 1.2 این افزونه یک آسیب‌پذیری جدی وجود دارد که می‌تواند منجر به اجرای کد از راه دور (RCE) شود. این مشکل از طریق تابع ()copyreap_handle_image رخ می‌دهد و ناشی از دو ضعف اصلی است:

1. در صورت نبودن مقدار secret، افزونه به یک کلید امضای JWT هاردکد‌شده بازمی‌گردد،
2. افزونه محدودیتی در نوع فایل‌های قابل بازیابی و ذخیره به‌عنوان پیوست اعمال نمی‌کند.

ترکیب این دو ضعف به مهاجم این امکان را می‌دهد که یک توکن JWT معتبر بسازد یا جعل کند (بدون نیاز به secret واقعی)، امتیازات بالاتر کسب کند و سپس از طریق هندلر تصویر، هر فایل دلخواهی — از جمله یک اسکریپت PHP — را آپلود نماید که در نهایت می‌تواند به اجرای کد دلخواه روی سرور منجر شود.

محصولات آسیب‌پذیر

• افزونه‌ی Copypress Rest API نسخه‌های 1.1 تا 1.2

توصیه‌های امنیتی

• به‌روزرسانی فوری: در صورت انتشار وصله یا نسخه‌ای امن از سوی توسعه‌دهنده، افزونه را فوراً به‌روزرسانی کنید.

• تا زمان رفع کامل مشکل، پیاده‌سازی تدابیر موقت از قبیل:

  • غیرفعال‌سازی endpointهای REST مرتبط با آپلود تصویر برای کاربران ناشناس،

  • اعمال بررسی‌های سروری سخت‌گیرانه روی نوع فایل‌ها (MIME type و بررسی پسوند) و جلوگیری از آپلود فایل‌های اجرایی،

  • اضافه کردن یا تنظیم مقدار secret درست و امن برای امضای JWT.

• پس از به‌روزرسانی، بازبینی لیست کاربران و توکن‌ها و چرخش (rotation) هر کلید/توکن مشکوک توصیه می‌شود.

• افزودن لایه‌های امنیتی مانند WAF و بررسی لاگ‌ها جهت شناسایی تلاش‌های غیرمجاز برای آپلود یا استفاده از توکن‌های جعلی.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8625

آسیب‌پذیری CVE-2025-57266 با شدت 9.8 از 10 در چارچوب وبلاگی ThriveX نسخه‌های 2.5.9 تا 3.1.3 شناسایی شده است.
این نقص در فایل AssistantController.java و به‌طور مشخص در مسیر /api/assistant/list وجود دارد و به مهاجمان غیرمجاز اجازه می‌دهد بدون نیاز به احراز هویت به اطلاعات حساس از جمله کلیدهای API دسترسی پیدا کنند.

علت اصلی این مشکل، نبود کنترل دسترسی و اعتبارسنجی مناسب برای درخواست‌های ورودی است. در صورت بهره‌برداری، مهاجم می‌تواند از داده‌های افشاشده برای انجام حملاتی مانند جعل هویت، سوءاستفاده از سرویس‌های متصل، یا دور زدن مکانیزم‌های امنیتی استفاده کند.
این آسیب‌پذیری محرمانگی سیستم را به‌شدت تحت تأثیر قرار می‌دهد و احتمال نقض یکپارچگی داده‌ها را افزایش می‌دهد.

رفع این نقص در نسخه‌های جدیدتر انجام شده و توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقای نسخه و فعال‌سازی مکانیزم‌های امنیتی تکمیلی اقدام کنند.

محصولات تحت‌تأثیر

• ThriveX Blogging Framework نسخه‌های 2.5.9 تا 3.1.3
• هر سامانه، وب‌سایت یا سرویسی که بر پایهٔ این چارچوب توسعه یافته و از ماژول AssistantController یا مسیر /api/assistant/list استفاده می‌کند.

توصیه‌های امنیتی

• به‌روزرسانی فوری به نسخهٔ امن (پس از 3.1.3 یا آخرین نسخهٔ پایدار منتشرشده)
• اعمال کنترل دسترسی سخت‌گیرانه بر تمام endpointهای API و اطمینان از نیاز به احراز هویت برای دسترسی به داده‌های حساس
• چرخش کلیدهای API و بازتولید توکن‌های امنیتی در صورت احتمال افشای اطلاعات
• فعال‌سازی لاگ‌برداری و مانیتورینگ جهت شناسایی درخواست‌های مشکوک یا غیرمجاز به مسیر /api/assistant/list
• اعمال محدودیت‌های شبکه‌ای مانند فایروال یا API Gateway برای جلوگیری از دسترسی مستقیم غیرمجاز به APIها

منبع خبر:

[1]https://www.tenable.com/cve/CVE-2025-57266

FreshRSS یک گردآورندهٔ RSS متن‌باز و قابل میزبانی شخصی است.
در نسخه‌های 1.16.0 تا 1.26.3، یک آسیب‌پذیری جدی وجود دارد که به مهاجم بدون هیچ امتیازی اجازه می‌دهد در صورتی که ثبت‌نام کاربران فعال باشد، یک حساب کاربری با نقش مدیر ایجاد کند.

شرح فنی کوتاه:
در مسیر FreshRSS/app/Controllers/userController.php از یک فیلد پنهان (new_user_is_admin) استفاده شده که در صفحهٔ مدیریت کاربرانِ مدیران کاربرد دارد. این فیلد هنگام ثبت‌نام عمومی نیز قابل ارسال است؛ بنابراین مهاجم می‌تواند با اضافه‌کردن این ورودی پنهان در فرم ثبت‌نام، خودش را مدیر ثبت کند.

مثال سوءاستفاده:

• به صفحهٔ ثبت‌نام بروید: https://demo.freshrss.org/i/?c=auth&a=register
• در فرم HTML خط زیر را درج کنید: <input type="hidden" name="new_user_is_admin" value="1">
• فرم را تکمیل و ارسال کنید — کاربر ایجادشده دارای نقش مدیر خواهد بود.

محصولات آسیب‌پذیر

• نسخه‌های FreshRSS 1.16.0 تا 1.26.3

توصیه‌های امنیتی

• به‌روزرسانی فوری: کاربران و مدیران FreshRSS باید سریعاً به نسخهٔ 1.27.0 یا بالاتر ارتقا دهند.
• در صورت نیاز موقت، ثبت‌نام عمومی را غیرفعال کنید یا بررسی‌های سمت سرور برای فیلدهای پنهان اضافه کنید تا از ارسال پارامترهای نقش جلوگیری شود.
• پس از بروزرسانی، فهرست کاربران را بازبینی کنید و هر حساب مشکوک یا غیرمجاز را حذف یا اصلاح نمایید.
• پیاده‌سازی کنترل‌های سخت‌گیرانه‌تر بر روی ورودی‌های فرم (اعتبارسنجی سرور، حذف فیلدهای غیرمجاز) و مانیتورینگ رویدادهای ثبت‌نام توصیه می‌شود.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-54875

[2]https://github.com/FreshRSS/FreshRSS/security/advisories/GHSA-h625-ghr3-jppq

یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-59936 و شدت 9.4 در بسته‌ی npm get-jwks شناسایی شده است که در نسخه‌های ≤ 11.0.1 وجود دارد.

در طراحی آسیب‌پذیر، کلیدهای JWKS پس از بازیابی در یک کش مشترک ذخیره می‌شوند و بررسی issuer تنها پس از برداشت یا استفاده از کلید انجام می‌گیرد. این ترتیب باعث می‌شود مهاجم بتواند با مسموم‌سازی کش (Cache Poisoning)، کلیدهای عمومی جعلی را ثبت کند و سپس توکن‌هایی با iss متفاوت را معتبر جلوه دهد.

پیامد فنی این نقص، دور زدن اعتبارسنجی issuer و امکان جعل امضای JWT است که می‌تواند منجر به دسترسی غیرمجاز به APIها و منابع حساس شود.

نگهدارنده‌ی بسته نسخه‌ی اصلاح‌شده‌ی 11.0.2 را منتشر کرده است. اقدام فوری و حیاتی، ارتقای بسته به نسخه‌ی 11.0.2 است. در صورت تأخیر در ارتقا، می‌توان با بررسی صریح issuer پیش از استفاده از هر کلید کش‌شده یا Namespace کردن کش بر اساس issuer/jwks_uri، ریسک را کاهش داد.

توصیه‌های بلندمدت شامل محدودسازی منابع JWKS مورد اعتماد، تعیین TTL مناسب برای کش، جلوگیری از Race Conditionها و افزودن تست‌های واحد و یکپارچه برای شبیه‌سازی سناریوی Cache Poisoning است.

محصولات تحت‌تأثیر

• اپلیکیشن‌ها و سرویس‌های Node.js که از بسته‌ی get-jwks نسخه ≤ 11.0.1 استفاده می‌کنند.
• API Gatewayهایی که برای اعتبارسنجی JWT به get-jwks متکی هستند.
• سرویس‌های احراز هویت و ورود (Authentication Services) که JWT را بررسی می‌کنند.
• میکروسرویس‌ها و Backendهای مبتنی بر JWT در معماری ابری یا توزیع‌شده.
• هر محصول یا نرم‌افزار ثالثی که به‌طور مستقیم یا غیرمستقیم از کتابخانه‌ی get-jwks استفاده کرده باشد.

توصیه‌های امنیتی

• ارتقای فوری بسته به نسخه‌ی امن 11.0.2 یا بالاتر.
• بررسی issuer پیش از استفاده از کلید کش‌شده، در صورت اجبار به استفاده از نسخه‌های قدیمی.
• جدا کردن فضای کش بر اساس issuer یا jwks_uri برای جلوگیری از بازاستفاده‌ی کلیدها.
• محدود کردن منابع JWKS و تعریف Allowlist از دامنه‌های مورد اعتماد.
• تعیین TTL کوتاه برای کش تا کلیدهای مسموم مدت‌زمان طولانی باقی نمانند.
• مانیتورینگ و بررسی لاگ‌ها جهت شناسایی درخواست‌های غیرعادی یا استفاده از کلیدهای تکراری.
• اجرای تست‌های امنیتی شامل شبیه‌سازی حمله‌ی Cache Poisoning در فرآیند CI/CD.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-59936

افزونه‌ی Webandprint AR for WordPress که برای افزودن نمایش سه‌بعدی و واقعیت افزوده (Augmented Reality) به وب‌سایت‌های وردپرسی استفاده می‌شود، این امکان را به کاربران می‌دهد تا مدل‌های سه‌بعدی را در صفحات و پست‌ها قرار دهند و آن‌ها را بدون نیاز به نصب اپلیکیشن، از طریق دستگاه‌های موبایل در حالت AR مشاهده کنند.

یک آسیب‌پذیری جعل درخواست بین‌سایتی (CSRF) در این افزونه شناسایی شده است که می‌تواند به مهاجم اجازه دهد یک وب‌شل بر روی سرور آپلود کند.

محصولات آسیب‌پذیر

• تمامی نسخه‌ها تا 7.98

توصیه‌های امنیتی

• به کاربران این افزونه توصیه می‌شود در صورت انتشار به‌روزرسانی توسط توسعه‌دهنده، سریعا افزونه را به آخرین نسخه ارتقا دهند تا خطر سوءاستفاده کاهش یابد.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-60156

یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-20352 و شدت بالا (7.7) در نرم‌افزارهای Cisco IOS و Cisco IOS XE شناسایی شده است. این نقص در بخش پروتکل مدیریت شبکه ساده (SNMP) وجود دارد و به مهاجمان احراز هویت‌شده امکان می‌دهد با ارسال بسته‌های SNMP دستکاری‌شده از طریق شبکه‌های IPv4 یا IPv6، سرریز پشته ایجاد کنند.

این آسیب‌پذیری به مهاجمان با دسترسی پایین اجازه می‌دهد دستگاه را مجبور به راه‌اندازی مجدد کنند که منجر به وضعیت منع سرویس (DoS) می‌شود. همچنین، مهاجمان با دسترسی مدیریتی بالا می‌توانند کد دلخواه را با سطح دسترسی کاربر root روی دستگاه‌های Cisco IOS XE اجرا کرده و کنترل کامل دستگاه را در اختیار بگیرند. این نقص می‌تواند موجب اختلال در خدمات شبکه، دسترسی غیرمجاز به سیستم یا اجرای کدهای مخرب شود. لازم به ذکر است که این آسیب‌پذیری تمامی نسخه‌های پروتکل SNMP را تحت تأثیر قرار می‌دهد.

جزئیات فنی (بردار حمله CVE-2025-20352)

این آسیب‌پذیری بر اساس بردار حمله‌ی زیر ارزیابی شده است:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H

• قابل بهره‌برداری از طریق شبکه، بدون نیاز به دسترسی محلی (AV:N)
• بهره‌برداری با پیچیدگی پایین (AC:L)
• نیازمند احراز هویت در سطح پایین (PR:L)
• بدون نیاز به تعامل کاربر (UI:N)
• می‌تواند دامنه‌ای فراتر از سیستم هدف را تحت تأثیر قرار دهد (S:C)
• بدون تأثیر بر محرمانگی (C:N) و یکپارچگی (I:N)
• با تأثیر بالا بر دسترسی‌پذیری (A:H) که منجر به راه‌اندازی مجدد دستگاه و ایجاد وضعیت DoS می‌شود

محصولات تحت‌تأثیر

توصیه‌های امنیتی

برای کاهش ریسک و جلوگیری از سوءاستفاده مهاجمان اقدامات زیر توصیه می‌شود:

• ارتقای تمامی دستگاه‌های Cisco IOS و Cisco IOS XE به نسخه‌های وصله‌شده
• محدود کردن دسترسی به پروتکل SNMP تنها برای کاربران و دستگاه‌های مورد اعتماد
• در صورت غیرضروری بودن پروتکل SNMP، غیرفعال‌سازی آن در دستگاه‌های آسیب‌پذیر

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-20352

آسیب‌پذیری CVE-2025-59545 با شدت 9.0 (High) در پلتفرم DNN (DotNetNuke) و مربوط به ماژول Prompt شناسایی شده است. این نقص در نسخه‌های قبل از 10.1.0 وجود دارد. ماژول Prompt امکان اجرای دستورات مدیریتی را فراهم می‌کند، اما در برخی موارد ورودی‌های کاربر به‌درستی فیلتر نمی‌شوند و خروجی خام HTML بازگردانده می‌شود؛ نتیجه‌ی این موضوع امکان تزریق اسکریپت مخرب (XSS) است که هنگام اجرای دستورات Prompt می‌تواند منجر به اجرای کد سمت کاربر شود.

پیامدهای احتمالی این آسیب‌پذیری شامل سرقت نشست کاربری (session hijacking)، دسترسی یا افشای اطلاعات حساس و تغییر رفتار صفحات وب است. شدت این ضعف بالا ارزیابی شده است زیرا مدیران و کاربران دارای سطوح دسترسی بالا بیشتر در معرض خطر قرار دارند.

محصولات تحت‌تأثیر

• DNN Platform (DotNetNuke CMS)
• تمامی نسخه‌های قبل از 10.1.0
• به‌طور خاص: ماژول Prompt در نسخه‌های آسیب‌پذیر که امکان اجرای دستورات مدیریتی را فراهم می‌کند.

توصیه‌های امنیتی

• به‌روزرسانی فوری: ارتقا به DNN نسخه‌ی 10.1.0 یا بالاتر که این نقص را رفع کرده است.
• محدودسازی دسترسی به ماژول Prompt: دسترسی به این ماژول را تنها برای مدیران مجاز قرار دهید و آن را برای کاربران عادی غیرفعال کنید.
• استفاده از WAF (Web Application Firewall): برای شناسایی و فیلتر کردن درخواست‌های حاوی اسکریپت‌های مخرب.
• فعال‌سازی Content Security Policy (CSP): برای جلوگیری از اجرای اسکریپت‌های تزریق‌شده در مرورگر.
• پایش و بررسی لاگ‌ها: کنترل لاگ‌های سیستم برای شناسایی تلاش‌های مشکوک جهت سوءاستفاده از Prompt.
• اجرای اصل حداقل دسترسی (Least Privilege): نقش‌ها و مجوزهای کاربری را بازبینی کنید و تنها به ادمین‌ها اجازه استفاده از قابلیت‌های حساس داده شود.
• آموزش کاربران و ادمین‌ها: افزایش آگاهی درباره‌ی ریسک XSS، شناسایی لینک‌ها و ورودی‌های مخرب و رفتار ایمن در محیط مدیریت.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-59545

موتور جاوااسکریپت V8 مسئول تبدیل، اجرای کدهای JavaScript و بهینه‌سازی آن‌ها برای عملکرد بالا در مرورگر Google Chrome است. از آن‌جا که V8 در مدیریت حافظه، زمان‌بندی اجرای کد و تعامل با زیرسیستم‌های مرورگر دخالت مستقیم دارد، آسیب‌پذیری‌های آن می‌توانند تأثیر وسیعی بر محرمانگی و یکپارچگی داده‌ها در صفحات وب داشته باشند.

آسیب‌پذیری CVE-2025-10890 با شدت 9.1 به مهاجم از راه دور اجازه می‌دهد با ارائه‌ی یک صفحه‌ی HTML ویژه یا اسکریپت ساخته‌شده، از طریق اندازه‌گیری‌های زمانی و آثار جانبی اجرای کد (side‑channel) اطلاعات متعلق به مبدأهای دیگر را استنتاج کند و در نتیجه داده‌های حساس را افشا نماید.

جزئیات آسیب‌پذیری

در این حمله، مهاجم یک صفحه‌ی وب یا قطعه‌کدی را ارائه می‌دهد که با اجرای متوالی عملیات و اندازه‌گیری‌هایی مانند تأخیرهای اجرای توابع، اختلافات در دسترسی به حافظه‌ی نهان (cache) یا تغییر در مصرف منابع، داده‌های زمانی جمع‌آوری می‌کند. با تحلیل آماری این اندازه‌گیری‌ها، مهاجم می‌تواند اطلاعاتی را که باید از نظر مبدأ ایزوله باشند — مانند محتویات نشست‌ها، داده‌های بین‌دامنه یا کلیدهای موقت — بازسازی یا استنتاج کند.

این نوع حمله مستلزم تعامل کاربر است (باز کردن صفحه‌ی مخرب یا بارگذاری آن در چارچوبی که کاربر به‌صورت ناخواسته باز می‌کند). بهره‌برداری موفق می‌تواند به افشای داده‌های بین‌دامنه، افشای محتوای نشست‌ها، دسترسی به اطلاعات حساس بارگذاری‌شده در پنجره‌های دیگر و در موارد پیشرفته به تهدید محرمانگی حساب‌ها و کوکی‌ها منجر شود.

بردار حمله (CVSS 3.1): AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N

مهاجم با فریب کاربر برای باز کردن صفحه‌ای مخرب یا قرار دادن آن در یک قاب قابل بارگذاری، کدی اجرا می‌کند که تفاوت‌های رفتاری موتور V8 (زمان‌بندی اجرا، الگوهای کشینگ یا مصرف منابع) را اندازه‌گیری و تحلیل می‌کند؛ با تکرار این اندازه‌گیری‌ها و تحلیل آماری نتایج، می‌توان اطلاعاتی استخراج کرد که باید به‌طور منطقی میان مبدأها ایزوله باشند.

نسخه‌های تحت‌تأثیر

• تمامی نسخه‌های Google Chrome در بازه‌ٔ 140.0.7339.0 تا 140.0.7339.206 گزارش شده‌اند که آسیب‌پذیر هستند.

توصیه‌های امنیتی

• به‌روزرسانی مرورگر: مرورگر Google Chrome را به نسخهٔ 140.0.7339.207 یا بالاتر به‌روزرسانی کنید.
• محدودسازی اجرای کد ناخواسته: در سایت‌های ناشناخته جاوااسکریپت را غیرفعال کنید یا از افزونه‌های مدیریت اسکریپت (مثل لیست سفید) در محیط‌های حساس بهره ببرید.
• ملاحظه در رفتار کاربران: کاربران را نسبت به بازکردن صفحات ناشناس یا لینک‌های مشکوک آموزش دهید.
• نظارت در نقاط پایانی: به‌کارگیری راه‌حل‌های EDR/UEBA برای شناسایی الگوهای بازدید مکرر صفحات ساختگی یا اسکریپت‌های مشکوک.
• محدودسازی محیط‌های حساس: در محیط‌های حساس (مثل پنل‌های مدیریت یا سرویس‌های مالی) از سیاست‌های امنیتی سخت‌گیرانه‌تر و محتوای ایمن‌شده استفاده کنید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-10890

[2]https://www.cvedetails.com/cve/CVE-2025-10890

[3]https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html

[4]https://issues.chromium.org/issues/430336833

آسیب‌پذیری CVE-2025-35042 با شدت 9.3 (Critical) در سامانه‌های Airship AI Acropolis شناسایی شده است. علت این نقص استفاده از حساب کاربری مدیریتی پیش‌فرض با اعتبارنامه‌های یکسان در تمامی نصب‌ها است. در صورتی که رمز عبور این حساب تغییر داده نشود، مهاجم می‌تواند از راه دور و بدون نیاز به احراز هویت وارد سیستم شده و به سطح دسترسی مدیریتی دست یابد.

این حمله از طریق شبکه انجام می‌شود (AV:N)، دارای پیچیدگی پایین (AC:L)، بدون نیاز به شرایط خاص (AT:N)، بدون نیاز به مجوز (PR:N) و بدون تعامل با کاربر (UI:N) است. تاثیرات این آسیب‌پذیری بر محرمانگی، یکپارچگی و دسترس‌پذیری بسیار بالا گزارش شده است (C:H / I:H / A:H). تأثیرات ثانویه‌ای ثبت نشده است (SC:N / SI:N / SA:N). احتمال بهره‌برداری عمومی و ممکن است (E:P).

محصولات آسیب‌پذیر

• سامانه‌های Airship AI Acropolis با نسخه‌های قبل از 10.2.35، 11.0.21 و 11.1.9.

توصیه‌های امنیتی

• تغییر فوری رمز عبور حساب‌های مدیریتی پیش‌فرض در تمامی نصب‌ها.
• به‌روزرسانی نرم‌افزار به نسخه‌هایی که این آسیب‌پذیری را رفع کرده‌اند.
• محدودسازی دسترسی به رابط‌های مدیریتی از طریق شبکه‌های عمومی (فایروال، VPN و غیره).
• نظارت بر لاگ‌های ورود برای شناسایی فعالیت‌های مشکوک یا ورودهای غیرمجاز.
• آموزش تیم‌های فنی درباره‌ی خطرات استفاده از اعتبارنامه‌های پیش‌فرض و ضرورت مدیریت امن رمزها.
• اجرای تست‌های امنیتی دوره‌ای برای شناسایی حساب‌های پیش‌فرض و آسیب‌پذیری‌های مشابه.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-35042

آسیب‌پذیری CVE-2025-6544 با شدت 9.8 (Critical) در پروژهٔ متن‌باز h2oai/h2o-3 (نسخه‌های تا و از جمله‌ی 3.46.0.8) شناسایی شده است. علت مشکل پردازش ناصحیح پارامترهای اتصال JDBC است؛ مهاجم می‌تواند با دورزدن فیلترها از طریق double URL-encoding، رشته‌‌های JDBC مخرب ارسال کند تا پی‌لودهای سریال‌شده اجرا شوند.

بهره‌برداری موفق می‌تواند منجر به خواندن فایل‌های سیستمی دلخواه (مانند فایل‌های پیکربندی و اسرار) شود و در مواردی ممکن است به اجرای کد از راه دور (RCE) و تسلط بر سرویس یا میزبان منتهی شود. هر استقراری که از نسخه‌های آسیب‌پذیر استفاده کند و پارامترهای JDBC را از ورودی شبکه قبول کند در معرض خطر است؛ در این وضعیت، بهره‌برداری از راه دور عملی‌تر و خطرناک‌تر خواهد بود.

محصولات تحت تأثیر

• تمام نسخه‌های h2oai/h2o-3 برابر یا کمتر از 3.46.0.8 (هر بسته یا باینری که از این نسخه یا قدیمی‌تر استفاده می‌کند).

• انواع استقرارها شامل:

  • اجرای محلی با h2o.jar یا بسته‌های باینری،

  • ایمیج‌های Docker h2oai/h2o-3 و کانتینرهای ساخته شده از آن‌ها،

  • کلاسترهای توزیع‌شده یا سرویس‌های میزبانی‌شده که h2o-3 را در بک‌اند دارند،

  • سرویس‌ها یا اپلیکیشن‌هایی که به‌طور مستقیم پارامترهای JDBC را به h2o-3 پاس می‌دهند یا از آن ورودی می‌گیرند.

• هر محصول یا پلتفرم ثالث که h2o-3 را embed یا بسته‌بندی کرده و نسخهٔ آسیب‌پذیر را شامل می‌شود (مثلاً ایمیج‌های آماده، applianceها یا توزیع‌های داخلی).

توصیه‌های امنیتی

1. شناسایی سریع نسخه‌ها

   • فهرست همهٔ سرویس‌ها و سرورهایی که h2o-3 را اجرا می‌کنند و بررسی نسخه‌ها.

   • مثال: java -jar h2o.jar --version یا در داکر:

     docker ps --filter ancestor=h2oai/h2o-3 --format '{{.ID}} {{.Image}}'

2. به‌روزرسانی در صورت وجود پچ رسمی

   • اگر نسخهٔ اصلاح‌شده منتشر شده است، فوراً ارتقا دهید (ابتدا در محیط تست، سپس در محیط تولید).

3. محدودسازی شبکه (قفل دسترسی)

   • دسترسی به نقاطی که پارامتر JDBC می‌پذیرند را فقط به شبکهٔ مدیریت/VPN یا آدرس‌های IP مورداعتماد محدود کنید (فایروال، security groups).

4. فیلتر و canonicalize در لبهٔ شبکه (WAF / Reverse Proxy)

   • قوانینی اعمال کنید که درخواست‌های حاوی الگوهای double-encoded یا رشته‌های مشکوک در پارامترهای JDBC را مسدود کند.

5. اجرای سرویس با کمترین امتیاز ممکن

   • h2o-3 را با کاربر کم‌امتیاز اجرا کنید و دسترسی به فایل‌سیستم را محدود نمایید.

6. بازبینی لاگ‌ها و تشخیص رخدادها

   • به‌دنبال الگوهای double-encoded، خطاهای سریال‌سازی یا درخواست‌های مشکوک در لاگ‌ها بگردید و هر نشانه‌ای از نفوذ را فوراً بررسی کنید.

7. چرخش اسرار در صورت لزوم

   • در صورت شواهد نفوذ یا افشای احتمالی، همهٔ اسرار و credentialهای مربوطه را فوراً چرخانده و تغییر دهید.

8. تست امنیتی و بازبینی کد (code review)

   • تست نفوذ متمرکز روی پردازش پارامترهای JDBC، بازبینی کد و اصلاح ریشه‌ای منطق پردازش ورودی‌ها انجام دهید.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-6544