دستهی اول: آسیبپذیریهای مربوط به FortiOS / FortiProxy – بخش احراز هویت و API
این آسیبپذیریها با شمارههای
CVE-2025-54438 ،CVE-2025-54440 ،CVE-2025-54442 ،CVE-2025-54443 ،CVE-2025-54444 ،CVE-2025-54446 ،CVE-2025-54448، CVE-2025-54449 ،CVE-2025-54451
و شدت 9.8، ضعفهای امنیتی بحرانی در پیادهسازی سیستم احراز هویت، مدیریت سشنها، و رابطهای API هستند که به مهاجمان با سطح دسترسی پایین یا بدون احراز هویت، اجازه میدهند اقدامات مخربی نظیر دور زدن احراز هویت، اجرای دستورات مدیریتی یا مشاهده اطلاعات حساس را انجام دهند.
دستهی دوم: آسیبپذیریهای مربوط به FortiSIEM – در سطح مدیریت لاگ و تنظیمات سیستم
این آسیبپذیریها با شمارههای CVE-2025-54454 و CVE-2025-54455 و شدت 9.1، ناشی از اعتبارسنجی ناکافی در پنل مدیریتی FortiSIEM هستند. مهاجم میتواند با بهرهبرداری از این ضعفها، اسکریپتهای مخرب را در تنظیمات رابط کاربری وارد کرده و منجر به حملات XSS یا تزریق فرمان شود.
محصولات تحتتأثیر
- Frappe Framework نسخههای < 15.27.0
- ERPNext نسخههای < 14.39.0
توصیههای امنیتی
بهروزرسانی فوری به نسخههای امن منتشرشده:
- Frappe Framework نسخه 15.27.0 یا بالاتر
- ERPNext نسخه 14.39.0 یا بالاتر
بررسی دقیق نقشها و دسترسیها در کلیه مسیرهای API سمت سرور.
استفاده از کنترلهای امنیتی استاندارد:
- توکنهای دسترسی (Access Tokens)
- اعتبارسنجی سشن (Session Validation)
- اصل حداقل سطح دسترسی (Least Privilege)
فعالسازی و نظارت بر لاگهای امنیتی برای شناسایی دسترسیهای مشکوک یا غیرمجاز.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-54438
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-54440
[3]https://nvd.nist.gov/vuln/detail/CVE-2025-54442
[4]https://nvd.nist.gov/vuln/detail/CVE-2025-54443
[5]https://nvd.nist.gov/vuln/detail/CVE-2025-54444
[6]https://nvd.nist.gov/vuln/detail/CVE-2025-54446
[7]https://nvd.nist.gov/vuln/detail/CVE-2025-54448
[8]https://nvd.nist.gov/vuln/detail/CVE-2025-54449
[9]https://nvd.nist.gov/vuln/detail/CVE-2025-54451
- 2