آسیبپذیری CVE-2025-54790 با شدت 9.2، یک نقص امنیتی از نوع SQL Injection در ماژول Files پلتفرم HumHub است که در نسخههای 0.16.9 و پایینتر وجود دارد. این آسیبپذیری به مهاجم اجازه میدهد بدون نیاز به نمایش مستقیم خروجی، از طریق کوئریهای مخرب SQL در سمت سرور (backend)، به دادههای محرمانه دسترسی پیدا کند. مشکل از آنجاست که ماژول Files فاقد اعتبارسنجی مناسب برای ورودیهایی است که در کوئریهای SQL استفاده میشوند. این نوع حمله بهویژه بهصورت Blind SQL Injection قابل اجراست و منجر به افشای اطلاعات حساس میشود.
محصولات تحتتأثیر
-
HumHub
یک پلتفرم متنباز برای شبکههای اجتماعی و همکاری تیمی (Team Collaboration Platform) -
ماژول Files در HumHub
مخصوص مدیریت فایلها در فضاها (Spaces) و پروفایل کاربران
توصیههای امنیتی
- ارتقاء فوری: ماژول Files را به نسخهی 0.16.10 یا بالاتر بهروزرسانی نمایید تا نقص امنیتی رفع شود.
- اجرای کوئریهای پارامتری: استفاده از prepared statements جهت جلوگیری از تزریق SQL الزامی است.
- اعتبارسنجی ورودیها: کلیهی دادههای ورودی کاربران باید بهصورت جامع و دقیق اعتبارسنجی و پاکسازی شوند.
- آزمونهای امنیتی مستمر: انجام تستهای نفوذ دورهای برای شناسایی و رفع آسیبپذیریها توصیه میشود.
- محدودسازی دسترسیها: کنترل دقیق دسترسیها به پایگاه داده و APIها بهمنظور کاهش خطر سوءاستفاده لازم است.
- نظارت و لاگبرداری: پایش مداوم و ثبت رخدادهای مشکوک بهمنظور واکنش سریع در برابر حملات امنیتی ضروری است.
منبع خبر:
- 19