آسیبپذیری CVE-2025-58443 با شدت 9.9 در نرمافزار متنباز FOG Project نسخههای 1.5.10.1673 و پایینتر شناسایی شده است. این نقص از نوع Authentication Bypass است و اجازه میدهد مهاجم بدون نیاز به نام کاربری یا رمز عبور معتبر، اقدام به استخراج کامل پایگاه داده SQL (DB Dump) کند. در نتیجه، اطلاعات حساس شامل دادههای کاربران، رمزهای عبور هششده و تنظیمات سیستم در معرض خطر قرار میگیرند. شدت این آسیبپذیری در سطح بحرانی ارزیابی شده است، زیرا بهرهبرداری از آن نیازی به احراز هویت ندارد و میتواند باعث افشای کامل اطلاعات شود. توسعهدهندگان نسخه وصلهشده را در dev-branch یا working-1.6 branch ارائه کردهاند و ارتقا فوری توصیه میشود. همچنین کاربران باید از کلیک روی لینکهای مشکوک یا دسترسی غیرمجاز به سیستمهای FOG جلوگیری کنند.
محصولات تحتتأثیر
- FOG Project نسخههای 1.5.10.1673 و پایینتر
- هر سیستمی که از این نسخهها استفاده میکند و دسترسی به پایگاه داده آن امکانپذیر است، در معرض استخراج غیرمجاز اطلاعات (DB Dump) قرار دارد.
توصیههای امنیتی
- ارتقا فوری به آخرین نسخهی پایدار موجود در dev-branch یا working-1.6 branch
- محدود کردن دسترسی به پایگاه داده و شبکه، بهطوریکه تنها کاربران مجاز بتوانند به FOG دسترسی داشته باشند.
- اعمال کنترلهای احراز هویت و دسترسی مناسب برای مدیریت و APIهای FOG.
- بررسی لاگها برای شناسایی دسترسیهای غیرمجاز به پایگاه داده.
- انجام پشتیبانگیری امن از دیتابیس پیش از ارتقا یا اعمال تغییرات.
- آموزش کاربران و مدیران سیستم برای پرهیز از کلیک روی لینکها یا استفاده از ورودیهای ناشناس که ممکن است مورد سوءاستفاده قرار گیرد.
منبع خبر:
- 4