دسته‌ی اول: آسیب‌پذیری‌های مربوط به FortiOS / FortiProxy – بخش احراز هویت و API
این آسیب‌پذیری‌ها با شماره‌های
CVE-2025-54438 ،CVE-2025-54440 ،CVE-2025-54442 ،CVE-2025-54443 ،CVE-2025-54444 ،CVE-2025-54446 ،CVE-2025-54448، CVE-2025-54449 ،CVE-2025-54451
و شدت 9.8، ضعف‌های امنیتی بحرانی در پیاده‌سازی سیستم احراز هویت، مدیریت سشن‌ها، و رابط‌های API هستند که به مهاجمان با سطح دسترسی پایین یا بدون احراز هویت، اجازه می‌دهند اقدامات مخربی نظیر دور زدن احراز هویت، اجرای دستورات مدیریتی یا مشاهده اطلاعات حساس را انجام دهند.

دسته‌ی دوم: آسیب‌پذیری‌های مربوط به FortiSIEM – در سطح مدیریت لاگ و تنظیمات سیستم
این آسیب‌پذیری‌ها با شماره‌های CVE-2025-54454 و CVE-2025-54455 و شدت 9.1، ناشی از اعتبارسنجی ناکافی در پنل مدیریتی FortiSIEM هستند. مهاجم می‌تواند با بهره‌برداری از این ضعف‌ها، اسکریپت‌های مخرب را در تنظیمات رابط کاربری وارد کرده و منجر به حملات XSS یا تزریق فرمان شود.

محصولات تحت‌تأثیر

• Frappe Framework نسخه‌های < 15.27.0
• ERPNext نسخه‌های < 14.39.0

توصیه‌های امنیتی

به‌روزرسانی فوری به نسخه‌های امن منتشرشده:

• Frappe Framework نسخه 15.27.0 یا بالاتر
• ERPNext نسخه 14.39.0 یا بالاتر

بررسی دقیق نقش‌ها و دسترسی‌ها در کلیه مسیرهای API سمت سرور.

استفاده از کنترل‌های امنیتی استاندارد:

• توکن‌های دسترسی (Access Tokens)
• اعتبارسنجی سشن (Session Validation)
• اصل حداقل سطح دسترسی (Least Privilege)

فعال‌سازی و نظارت بر لاگ‌های امنیتی برای شناسایی دسترسی‌های مشکوک یا غیرمجاز.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-54438

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-54440

[3]https://nvd.nist.gov/vuln/detail/CVE-2025-54442

[4]https://nvd.nist.gov/vuln/detail/CVE-2025-54443

[5]https://nvd.nist.gov/vuln/detail/CVE-2025-54444

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-54446

[7]https://nvd.nist.gov/vuln/detail/CVE-2025-54448

[8]https://nvd.nist.gov/vuln/detail/CVE-2025-54449

[9]https://nvd.nist.gov/vuln/detail/CVE-2025-54451

[10]https://nvd.nist.gov/vuln/detail/CVE-2025-54454

[11]https://nvd.nist.gov/vuln/detail/CVE-2025-54455

یک آسیب‌پذیری تزریق SQL در پراکسی SMTP قدیمی (transparent) فایروال Sophos با نسخه‌های قبل از 21.0 MR2 (یعنی 21.0.2) می‌تواند، در صورتی‌که یک سیاست قرنطینه برای ایمیل فعال باشد و سیستم از نسخه‌ای قدیمی‌تر از 21.0 GA به‌روزرسانی شده باشد، منجر به اجرای کد از راه دور شود.

محصولات آسیب‌پذیر

• نسخه‌های قبل از 21.0 MR2

توصیه‌های امنیتی

به کاربران توصیه می‌شود که به نسخه‌ی 21.0 MR2 و نسخه‌های جدیدتر به‌روزرسانی نمایند.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7624

[2]https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce

یک آسیب‌پذیری سطح بالا در روتر D-Link DIR-513 نسخه‌ی 1.10 شناسایی شده است. این آسیب‌پذیری، تابع sprintf در فایل /goform/formSetWanNonLogin مربوط به وب‌سرور Boa را تحت تأثیر قرار می‌دهد. دستکاری آرگومان curTime می‌تواند منجر به سرریز بافر مبتنی بر پشته شود. این حمله از راه دور قابل اجراست و کد اکسپلویت آن به‌صورت عمومی منتشر شده است؛ بنابراین ممکن است مورد سوءاستفاده قرار گیرد.

این آسیب‌پذیری زمانی رخ می‌دهد که مهاجم از راه دور، یک درخواست POST را به مسیر /goform/formSetWanNonLogin ارسال کند. تابع آسیب‌پذیر، پارامتر curTime را از بدنه‌ درخواست دریافت کرده و آن را در تابع ()sprintf به شکل زیر استفاده می‌کند:

sprintf(v64, "%s?t=%s", last_url, Var);

در اینجا، مقدار Var از ورودی curTime مشتق می‌شود. چون طول curTime قبل از استفاده در sprintf به‌درستی بررسی نمی‌شود، مهاجم می‌تواند مقدار بسیار بزرگی برای آن ارسال کرده و باعث سرریز بافر در پشته شود.

این آسیب‌پذیری فقط محصولاتی را تحت تأثیر قرار می‌دهد که دیگر توسط سازنده پشتیبانی نمی‌شوند.

محصولات آسیب‌پذیر

• D-Link DIR-513 نسخه‌ی 1.10

توصیه‌های امنیتی

هیچ راه‌حل رسمی برای مقابله با این آسیب‌پذیری تاکنون اعلام نشده است؛ توصیه می‌شود برای امنیت بیشتر، از محصول جایگزین استفاده شود.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7910

[2]https://github.com/buobo/bo-s-CVE/blob/main/DIR-513/formSetWanNonLogin.md

آسیب‌پذیری CVE-2025-53770 با شدت 9.8 از 10، یک ضعف امنیتی بحرانی در Microsoft SharePoint Server (نسخه‌های on-premises) است که به دلیل deserialization ناامن داده‌های غیرقابل‌اعتماد رخ می‌دهد. این آسیب‌پذیری به مهاجم غیرمجاز و از راه دور اجازه می‌دهد کد مخرب روی سرور اجرا کند.

مهاجم از راه دور و از طریق شبکه به SharePoint درخواست‌هایی را می‌فرستد که حاوی payload مخرب هستند. SharePoint بدون بررسی دقیق ساختار داده، آن را deserialize می‌کند. در فرایند deserialization، شیء مخرب اجرا شده و کدی روی سیستم قربانی اجرا می‌شود. این کار می‌تواند منجر به نصب backdoor، استخراج داده‌ها، اجرای فرمان‌های PowerShell یا حتی کنترل کامل سیستم شود.

محصولات تحت‌تأثیر

• Microsoft SharePoint Server 2016
• Microsoft SharePoint Server 2019
• SharePoint Server Subscription Edition (SE)

توصیه‌های امنیتی

• محدودسازی دسترسی به SharePoint Server از طریق فایروال و فقط اجازه به کاربران داخلی و مجاز
• اجتناب از دریافت داده از منابع غیرقابل‌اعتماد یا ناشناس تا زمان انتشار وصله
• فعال‌سازی لاگ‌برداری و مانیتورینگ دقیق فعالیت‌ها برای شناسایی رفتارهای مشکوک
• استفاده از ابزارهای امنیتی مانند Microsoft Defender for Endpoint جهت شناسایی و مسدودسازی حملات احتمالی
• پیاده‌سازی تنظیمات کاهش‌دهنده (mitigation) پیشنهادی مایکروسافت مطابق با راهنمای CVE

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53770

آسیب‌پذیری CVE-2025-47158

آسیب‌پذیری CVE-2025-47158 یک ضعف امنیتی با شدت بالا (9 از 10) است که از نوع افزایش سطح دسترسی از راه شبکه (Network Privilege Escalation) محسوب می‌شود و در Azure DevOps مشاهده شده است. این آسیب‌پذیری ناشی از وجود نقص در کنترل‌های امنیتی است که اجازه می‌دهد مهاجم سطح دسترسی سیستم را ارتقاء دهد و کنترل کامل بر روی سیستم هدف را به دست آورد.

این مشکل در نتیجه سوء‌استفاده از یک ضعف در فرآیندهای اعتبارسنجی و پردازش داده‌های ورودی، به‌ویژه در بخش‌هایی که داده‌های دریافتی از کاربران یا شبکه را مدیریت می‌کنند، رخ می‌دهد. این نقص معمولاً بر پایه تئوری‌های CWE-284: Improper Access Control و CWE-862: Missing Authorization دسته‌بندی می‌شود، اما در برخی موارد ممکن است با سوء‌استفاده از آسیب‌پذیری‌های دیگر در لایه‌های مختلف سیستم، باعث افزایش سطح دسترسی شود.

این حمله از راه دور و از طریق شبکه است (AV:N)، پیچیدگی بالایی برای بهره‌برداری دارد (AC:H)، نیاز به مجوز یا دسترسی اولیه ندارد (PR:N)، نیاز به تعامل کاربر ندارد (UI:N) و باعث تغییر داده‌ها و حتی از کار افتادن کامل سرویس‌ها می‌شود (S:C). تأثیر بالا بر محرمانگی، تمامیت و دسترس‌پذیری دارد (C:H / I:H / A:H). این سوء‌استفاده می‌تواند تأثیرات گسترده‌ای بر امنیت و عملکرد سازمان داشته باشد و در صورت موفقیت‌آمیز بودن، منجر به نقض کامل امنیت سیستم‌ها و داده‌ها گردد.

آسیب‌پذیری CVE-2025-49746

آسیب‌پذیری CVE-2025-49746 یک ضعف امنیتی بحرانی با شدت بسیار بالا (9.9 از 10) است که در سرویس Azure Machine Learning مایکروسافت شناسایی شده است. این آسیب‌پذیری ناشی از نقص در کنترل مجوزها (Improper Authorization) در زیرسیستم کنترل دسترسی Azure ML است که به مهاجم دارای دسترسی محدود اجازه می‌دهد با ارسال درخواست‌های خاص از طریق API یا تغییر در جریان تفویض منابع، سطح دسترسی خود را ارتقاء دهد و به عملیات حساس دسترسی پیدا کند.

این ضعف تحت دسته‌بندی CWE-285: Improper Authorization قرار می‌گیرد. اگر حمله موفقیت‌آمیز باشد، مهاجم می‌تواند به منابع حساس Azure ML دسترسی پیدا کند، کد مخرب اجرا کند، مدل‌های محرمانه را سرقت کند و باعث از کار افتادن سرویس‌های یادگیری ماشین شود.

در این حمله، بردار حمله از طریق شبکه است (AV:N)، پیچیدگی حمله پایین است (AC:L)، نیاز به مجوز اولیه دارد (PR:L)، نیاز به تعامل کاربر ندارد (UI:N)، دامنه تأثیر گسترده و بین‌سرویسی است (S:C) و تأثیر بالا بر محرمانگی، تمامیت و دسترس‌پذیری دارد (C:H / I:H / A:H).

محصولات آسیب‌پذیر

آسیب‌پذیری CVE-2025-47158

• Microsoft Azure DevOps (نسخه‌های مختلف، جزئیات دقیق هنوز منتشر نشده‌اند)

آسیب‌پذیری CVE-2025-49746

• Azure Machine Learning Compute Instances (نسخه‌های قبل از 18 جولای 2025)
• Managed Inference Endpoints
• MLflow Model Registry با اتصال به Azure AD

توصیه‌های امنیتی

آسیب‌پذیری CVE-2025-47158

• نصب آخرین وصله‌ی امنیتی منتشرشده توسط مایکروسافت برای Azure DevOps
• بررسی لاگ‌ها
• تقویت احراز هویت چندمرحله‌ای (MFA)
• حذف یا محدودسازی دسترسی‌های غیرضروری به Azure DevOps
• فعال‌سازی نظارت برای شناسایی رفتارهای غیرعادی

آسیب‌پذیری CVE-2025-49746

• بررسی نسخه‌ی سرویس Azure ML و اطمینان از به‌روزرسانی به نسخه جدید
• بازبینی سیاست‌های دسترسی و نقش‌ها در Azure RBAC
• فعال‌سازی نظارت بر رفتارهای غیرعادی در منابع ML
• محدودسازی دسترسی به منابع حساس و استفاده از احراز هویت چندمرحله‌ای (MFA)

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-47158

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-49746

آسیب‌پذیری CVE-2015-10139 با شدت 8.8 از 10 مربوط به قالب WPLMS در وردپرس است. این آسیب‌پذیری از طریق اکشن AJAX به نام wp_ajax_import_data به مهاجم احراز هویت‌شده اجازه می‌دهد تنظیماتی را که معمولاً محدود هستند، تغییر دهد و حتی حساب کاربری مدیر جدیدی ایجاد کند.

این نقص از نوع Privilege Escalation است و به دلیل مدیریت نادرست سطح دسترسی‌ها (CWE-269) رخ می‌دهد. در نتیجه، مهاجم می‌تواند کنترل کامل بر سایت وردپرسی هدف داشته باشد که تهدیدی جدی برای اطلاعات محسوب می‌شود.

این حمله از راه دور و از طریق شبکه است (AV:N)، پیچیدگی پایینی برای بهره‌برداری دارد (AC:L)، نیاز به سطح دسترسی پایین دارد، مانند کاربری ساده و غیرادمین (PR:L)، نیاز به تعامل کاربر ندارد (UI:N) و در یک دامنه امنیتی واحد اجرا می‌شود (S:U). تأثیر این آسیب‌پذیری بر محرمانگی، تمامیت و دسترس‌پذیری بالا است (C:H / I:H / A:H).

محصولات آسیب‌پذیر

WPLMS Learning Management System for WordPress
(تمام نسخه‌های 1.5.2 تا 1.8.4.1)

توصیه‌های امنیتی

• به‌روزرسانی فوری قالب WPLMS به نسخه‌ای بالاتر از 1.8.4.1
• محدودسازی دسترسی کاربران احراز هویت‌شده
• نظارت بر ایجاد حساب‌های مدیر و استفاده از افزونه‌های امنیتی
• کنترل AJAXهای حساس با استفاده از nonce و بررسی سطح دسترسی
• تهیه منظم نسخه پشتیبان از سایت و بررسی امنیتی دوره‌ای

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2015-10139

افزونه‌ی Work The Flow File Upload در وردپرس امکان آپلود فایل توسط کاربران را فراهم می‌کند و همچنین قابلیت تعریف فرآیند کاری را دارد که می‌تواند شامل مراحلی مانند بارگذاری فایل، نمایش گالری تصاویر، آرشیو کردن و مرتب‌سازی فایل‌ها باشد.
افزونه Work The Flow File Upload در وردپرس به دلیل نبود اعتبارسنجی نوع فایل در فایل‌های سرور و تست jQuery-File-Upload-9.5.0، در نسخه‌های قبل از 2.5.2 در برابر آپلود فایل دلخواه آسیب‌پذیر است.

این آسیب‌پذیری به مهاجمان غیرمجاز این امکان را می‌دهد که فایل‌هایی با هر نوعی را در سرور سایت آسیب‌دیده آپلود کنند که می‌تواند منجر به اجرای کد از راه دور شود.

curl -k -X POST -F "action=upload" -F "files=@./backdoor.php" http://VICTIM/wp-content/plugins/work-the-flow-file-upload/public/assets/jQuery-File-Upload-9.5.0/s…

دستور فوق جهت آپلود فایل backdoor.php به آدرس مشخصی در سایت قربانی استفاده می‌شود. پس از آپلود موفق، فایل backdoor در آدرس زیر قابل دسترسی خواهد بود:

http://VICTIM/wp-content/plugins/work-the-flow-file-upload/public/assets/jQuery-File-Upload-9.5.0/s…

محصولات آسیب‌پذیر

• نسخه‌های قبل از 2.5.2

توصیه‌های امنیتی

• به کاربران توصیه می‌شود برای رفع آسیب‌پذیری، این افزونه را به نسخه‌ی 2.5.3 به‌روزرسانی نمایند.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2015-10138

[2]https://wpscan.com/vulnerability/a49a81a9-3d4b-4c8d-b719-fc513aceecc6

آسیب‌پذیری CVE-2025-53762 یک ضعف امنیتی با شدت بالا (8.7 از 10) از نوع افزایش سطح دسترسی (Privilege Escalation) است که در سرویس Microsoft Purview مشاهده شده است. این نقص ناشی از وجود یک لیست مجاز ورودی‌ها با بررسی ناکافی (Permissive List of Allowed Inputs) است که مهاجم می‌تواند با دسترسی معتبر، سطح دسترسی خود را در Microsoft Purview ارتقا داده و به اطلاعات حساس و سیاست‌های امنیتی دسترسی پیدا کند.

در این حمله، مهاجم با داشتن دسترسی سطح بالا (PR:H) و بدون نیاز به تعامل کاربر (UI:N)، می‌تواند از طریق شبکه (AV:N) و با پیچیدگی پایین (AC:L)، ورودی‌هایی را ارسال کند که توسط سیستم به‌اشتباه معتبر تلقی شده و منجر به تغییر در دامنه دسترسی می‌شود.

این نقص می‌تواند منجر به افشای اطلاعات حساس (C:H) و تغییر غیرمجاز داده‌ها (I:H) شود، اما تأثیری بر در دسترس بودن سیستم ندارد (A:N).

محصولات آسیب‌پذیر

• Microsoft Purview، سرویس مدیریت داده‌ها و انطباق سازمانی مایکروسافت که در محیط‌های ابری استفاده می‌شود.

توصیه‌های امنیتی

• نصب فوری وصله‌ی امنیتی منتشرشده توسط Microsoft
• بازبینی و محدودسازی لیست‌های مجاز ورودی
• اعمال اصل حداقل دسترسی
• نظارت بر لاگ‌های امنیتی برای تشخیص رفتارهای مشکوک
• استفاده از فیلترهای چندلایه برای جلوگیری از عبور ورودی‌ها

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53762

سه آسیب‌پذیری بحرانی با شدت 9.8 از 10، شامل CVE-2012-10019 ،CVE-2015-10135 و CVE-2016-15043، در افزونه‌های WP Mobile Detector ،WPshop 2 و Front End Editor، امنیت وردپرس را به‌طور جدی تهدید می‌کنند.

آسیب‌پذیری CVE-2012-10019، ناشی از ضعف در مدیریت ورودی‌ها طبق استاندارد CWE-20 است و به مهاجمان اجازه می‌دهد تا از طریق ارسال داده‌های مخرب، کدهای ناامن را اجرا کرده و کنترل سایت را به دست گیرند.

آسیب‌پذیری CVE-2015-10135 با نقص در کنترل دسترسی همراه است که به مهاجمان امکان دسترسی غیرمجاز یا ارتقای سطح دسترسی را می‌دهد.

آسیب‌پذیری CVE-2016-15043 نیز مربوط به اعتبارسنجی ناکافی داده‌هاست که می‌تواند منجر به حملات تزریق، دستکاری اطلاعات حساس و کنترل کامل سایت شود.

در صورت بی‌توجهی، این آسیب‌پذیری‌ها راه را برای سوءاستفاده‌های گسترده، سرقت اطلاعات و تغییر محتوای سایت توسط مهاجمان باز می‌کنند.

بردار حمله برای هر سه آسیب‌پذیری یکسان است: حمله از راه دور (AV:N)، با پیچیدگی پایین (AC:L)، بدون نیاز به هیچ سطح دسترسی خاص (PR:N) و بدون نیاز به تعامل کاربر (UI:N). دامنه حمله گسترده است، زیرا ممکن است سایر بخش‌های سایت وردپرس را نیز تحت تأثیر قرار دهد (S:U). تأثیر این آسیب‌پذیری‌ها بر محرمانگی، تمامیت و در دسترس بودن سایت‌های وردپرس بسیار بالا است (C:H / I:H / A:H).

محصولات آسیب‌پذیر

• آسیب‌پذیری CVE-2012-10019

تمام نسخه‌های قبل از 2.3 در افزونه‌ی Front End Editor برای وردپرس.

• آسیب‌پذیری CVE-2015-10135

تمام نسخه‌های قبل از 1.3.9.6 در افزونه‌ی WPshop 2 – E-Commerce برای وردپرس.

• آسیب‌پذیری CVE-2016-15043

آسیب‌پذیری در افزونه‌ی WP Mobile Detector برای وردپرس تا نسخه‌ی 3.5 و شامل نسخه‌ی 3.5.

توصیه‌های امنیتی

• به‌روزرسانی مداوم وردپرس و افزونه‌ها
• محدودسازی فرمت‌های قابل بارگذاری
• فعال‌سازی احراز هویت برای بارگذاری
• اعتبارسنجی دقیق سمت سرور (MIME و محتوا)
• استفاده از فایروال WAF و افزونه‌های امنیتی
• اسکن فایل‌ها قبل از ذخیره‌سازی
• تنظیم مجوزهای مناسب و محدودسازی دسترسی دایرکتوری‌ها
• جلوگیری از اجرای فایل‌ها در پوشه بارگذاری
• پایش منظم لاگ‌های سرور و تشخیص رفتار مشکوک
• تهیه پشتیبان دوره‌ای و امن

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2012-10019

[2]https://nvd.nist.gov/vuln/detail/CVE-2015-10135

[3]https://nvd.nist.gov/vuln/detail/CVE-2016-15043

آسیب‌پذیری‌های CVE-2025-7696 و CVE-2025-7697 با شدت 9.8 مربوط به افزونه‌های وردپرس یکپارچه‌سازی فرم‌ها با سرویس‌های خارجی مانند Pipedrive و Google Sheets هستند که در نسخه‌های قدیمی این افزونه‌ها (≤1.2.3 و ≤1.1.1) وجود دارند. در این آسیب‌پذیری‌ها، داده‌های ورودی بدون اعتبارسنجی توسط تابع ناایمن ()unserialize پردازش می‌شوند که منجر به تزریق اشیاء PHP (PHP Object Injection) می‌شود. این وضعیت مهاجم را قادر می‌سازد با ارسال داده‌های خاص، اشیای مخرب را به سیستم تزریق کرده و از طریق زنجیره‌ای از متدهای جادویی در کلاس‌های دیگر افزونه‌ها، حملاتی مانند اجرای کد از راه دور (RCE)، حذف فایل‌های حساس مانند wp-config.php و در نهایت تخریب کامل وب‌سایت را انجام دهد.
بهره‌برداری از این آسیب‌پذیری‌ها نیاز به احراز هویت ندارد و پیچیدگی آن پایین است؛ بنابراین تهدیدی جدی برای امنیت وب‌سایت‌های وردپرسی محسوب می‌شود.

محصولات تحت‌تأثیر

• افزونه‌ی وردپرس Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms

  • نسخه‌های 1.2.3 و پایین‌تر (Affected versions ≤ 1.2.3) — مرتبط با CVE-2025-7696

  • نسخه‌های 1.1.1 و پایین‌تر (Affected versions ≤ 1.1.1) — مرتبط با CVE-2025-7697

توصیه‌های امنیتی

• برای مقابله با آسیب‌پذیری‌های CVE-2025-7696 و CVE-2025-7697، موارد زیر توصیه می‌شود:
• افزونه‌های آسیب‌پذیر را سریعاً به نسخه‌های جدیدتر به‌روزرسانی کنید یا در صورت نیاز، موقتاً غیرفعال نمایید.
• استفاده‌ی ناامن از تابع ()unserialize باید اصلاح شده و کدها ایمن‌سازی شوند.
• نظارت مداوم بر لاگ‌ها و رفتارهای مشکوک ضروری است.
• بهره‌گیری از فایروال وب (WAF) می‌تواند حملات تزریق را کاهش دهد.
• پشتیبان‌گیری منظم و محدودسازی دسترسی‌ها را فراموش نکنید تا سایت در برابر حملات مقاوم باشد.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2024-7696

[2]https://nvd.nist.gov/vuln/detail/CVE-2024-7697