VMware ESXi، Workstation و Fusion دارای یک آسیب‌پذیری از نوع heap-overflow در کنترلر PVSCSI (Paravirtualized SCSI) هستند که منجر به نوشتن خارج از محدوده می‌شود. یک عامل مخرب که دارای دسترسی مدیریتی محلی در یک ماشین مجازی است، می‌تواند از این آسیب‌پذیری سوءاستفاده کرده و کدی را به‌عنوان فرآیند VMX ماشین مجازی که بر روی میزبان اجرا می‌شود، اجرا کند.

در ESXi، بهره‌برداری از این آسیب‌پذیری درون محیط ایزوله‌شده VMX محدود می‌ماند و تنها در پیکربندی‌هایی قابل بهره‌برداری است که تحت پشتیبانی رسمی نیستند. اما در Workstation و Fusion، این آسیب‌پذیری ممکن است منجر به اجرای کد مخرب بر روی سیستم میزبان شود؛ یعنی همان سیستمی که نرم‌افزار Workstation یا Fusion روی آن نصب شده است.

محصولات آسیب‌پذیر

• VMware ESXi
• Workstation
• Fusion

توصیه‌های امنیتی

کاربران توصیه می‌شود برای رفع آسیب‌پذیری، وصله‌های ارائه‌شده در لینک‌های زیر را اعمال کنند:

• VMware ESXi
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u3f-release-notes.html
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-80u2e-release-notes.html
  https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/7-0/release-notes/esxi-update-and-patch-release-notes/vsphere-esxi-70u3w-release-notes.html

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-41238

[2]https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdviso…

مادربردهای متعددی از شرکت Gigabyte دارای فریم‌ور UEFI هستند که آسیب‌پذیری‌های امنیتی خطرناکی در آن‌ها شناسایی شده است. این ضعف‌ها به مهاجمان امکان می‌دهند بدافزارهای سطح پایین مانند بوت‌کیت‌ها را روی سیستم نصب کنند؛ بدافزارهایی که نه تنها برای سیستم‌عامل قابل مشاهده نیستند، بلکه حتی پس از نصب مجدد ویندوز نیز همچنان باقی می‌مانند.

بوت‌کیت نوعی بدافزار مدرن است که توسط مهاجمان جهت پیوست کردن نرم‌افزارهای مخرب به سیستم‌های رایانه‌ای استفاده می‌شود. این بدافزارها تهدیدات جدی امنیتی برای کسب‌وکار سازمان محسوب می‌شوند و اغلب شامل ابزارهایی از نوع روت‌کیت برای دور زدن سیستم‌های شناسایی هستند. این حملات، رابط UEFI را هدف قرار می‌دهند، که نرم‌افزار رابط بین سیستم‌عامل کامپیوتر و میان‌افزار سخت‌افزاری آن است. میان‌افزار UEFI به جای هارد دیسک، روی مادربرد ذخیره می‌شود و از این رو، با ابزارهای معمولی دیسک قابل پاکسازی نیست.

مهاجمان با داشتن دسترسی مدیریتی — چه به‌صورت محلی و چه از راه دور — می‌توانند کد مخرب را در System Management Mode (SMM) اجرا کنند. این محیط، که در هنگام بوت فعال می‌شود، سطح دسترسی بسیار بالایی به سخت‌افزار دارد و از دید سیستم‌عامل جداست. به همین دلیل، بدافزارهایی که در این سطح عمل می‌کنند، قادرند تمام مکانیزم‌های امنیتی سنتی را دور بزنند.

در حالت عادی، فریم‌ور UEFI با ویژگی Secure Boot از امنیت بالایی برخوردار است؛ زیرا از طریق امضای دیجیتال تضمین می‌کند تنها کدهای معتبر و مورد اعتماد در زمان بوت اجرا شوند. با این حال، برخی بدافزارهای پیشرفته مانند BlackLotus، CosmicStrand، MosaicAggressor، MoonBounce و LoJax موفق شده‌اند با سوءاستفاده از ضعف‌های سطح پایین، در هر بار بوت سیستم، کد مخرب خود را اجرا کنند — بدون اینکه توسط سیستم‌عامل یا آنتی‌ویروس شناسایی شوند.

این آسیب‌پذیری‌ها خطر نفوذ پایدار، نامرئی و بسیار قدرتمند را ایجاد می‌کنند که مقابله با آن‌ها بدون به‌روزرسانی فریم‌ور و اقدامات پیشگیرانه سخت خواهد بود.

چهار آسیب‌پذیری جدی در فریم‌ور مادربردهای Gigabyte توسط شرکت امنیتی Binarly شناسایی شده‌اند که همگی دارای شدت بالا با امتیاز 8.2 هستند. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند به System Management Mode (SMM) دسترسی پیدا کرده و کنترل کامل سطح پایین سیستم را در دست بگیرند. جزئیات این آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2025-7029: نقص در تابع OverClockSmiHandler که باعث افزایش سطح دسترسی و اجرای کد در محیط SMM می‌شود.
• CVE-2025-7028: ضعف در تابع SmiFlash که امکان خواندن و نوشتن در حافظه محافظت‌شده SMRAM را فراهم می‌کند؛ مسیری مستقیم برای نصب بدافزار.
• CVE-2025-7027: مهاجم از طریق این آسیب‌پذیری می‌تواند محتوای دلخواهی را در SMRAM بنویسد و با دستکاری فریم‌ور، کنترل مداوم بر سیستم داشته باشد.
• CVE-2025-7026: این آسیب‌پذیری امکان نوشتن دلخواه در حافظه SMRAM را فراهم می‌کند. مهاجم با سوءاستفاده از آن می‌تواند به سطح دسترسی SMM دست یابد و کد مخرب را در فریم‌ور سیستم قرار دهد. این نوع آلودگی به‌صورت پایدار، مخفی و بسیار دشوار برای شناسایی و پاک‌سازی باقی می‌ماند.

بررسی‌ها نشان می‌دهد که بیش از 240 مدل مادربرد تحت تأثیر این آسیب‌پذیری‌ها قرار دارند. فریم‌ور این دستگاه‌ها بین اواخر سال 2023 تا اواسط آگوست 2024 به‌روزرسانی شده است، اما بسیاری از آن‌ها همچنان فاقد وصله‌های امنیتی لازم هستند.

شرکت American Megatrends Inc. (AMI) به عنوان توسعه‌دهنده اصلی فریم‌ور، پس از دریافت گزارش، آسیب‌پذیری‌ها را اصلاح کرده است؛ با این حال، برخی تولیدکنندگان از جمله Gigabyte هنوز این به‌روزرسانی‌ها را در محصولات خود اعمال نکرده‌اند.

توصیه‌های امنیتی

اگرچه ریسک این آسیب‌پذیری‌ها برای کاربران عادی پایین در نظر گرفته می‌شود، اما برای کاربران در محیط‌های حساس و حیاتی، توصیه می‌شود از ابزار Risk Hunt شرکت Binarly استفاده کنند که به‌صورت رایگان امکان شناسایی چهار آسیب‌پذیری مذکور را فراهم می‌کند.

همچنین چون کامپیوترهای ساخته‌شده توسط برندهای مختلفی ممکن است از مادربردهای Gigabyte استفاده کنند، کاربران باید به‌طور مداوم وضعیت انتشار به‌روزرسانی فریم‌ور را بررسی کرده و آن را در اسرع وقت نصب کنند.

شرکت Gigabyte یک اطلاعیه امنیتی منتشر کرده که سه مورد از چهار آسیب‌پذیری کشف‌شده توسط Binarly را پوشش می‌دهد:
https://www.gigabyte.com/Support/Security/2302

منبع خبر:

[1]https://www.bleepingcomputer.com/news/security/gigabyte-motherboards-vulnerable-to-uefi-malware-byp…

آسیب‌پذیری‌های CVE-2025-5393 و CVE-2025-5394 با شدت 9.1 و 9.8 مربوط به نقص امنیتی بحرانی در قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone هستند که به دلیل صحت‌سنجی ناکافی مسیر فایل در تابع alone_import_pack_restore_date، آسیب‌پذیر به حذف و آپلود فایل دلخواه در نسخه آسیب‌پذیر و نسخه‌های قبلی آن می‌باشد. این موضوع به مهاجمان بدون احراز هویت امکان می‌دهد تا فایل‌ها را به‌صورت دلخواه در سرور حذف کنند که می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution) شود (مانند wp-config.php).

محصولات تحت تأثیر

محصول تحت تأثیر این آسیب‌پذیری، قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone می‌باشد.

توصیه‌های امنیتی

• به‌روزرسانی قالب: نصب آخرین نسخه قالب یا وصله امنیتی رسمی ارائه‌شده توسط سازنده.
• محدودسازی دسترسی‌ها و استفاده از سیاست‌های حداقل دسترسی.
• آموزش کاربران به عدم بازکردن فایل‌ها یا لینک‌های مشکوک.
• استفاده از آنتی‌ویروس‌های به‌روز.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-5393

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-5394

دو آسیب‌پذیری بحرانی در افزونه‌ی HT Contact Form Widget برای وردپرس شناسایی شده است که امکان بارگذاری فایل دلخواه و اجرای حملات مخرب را برای نفوذگران فراهم می‌کند. در ادامه، این دو آسیب‌پذیری معرفی می‌شود:

1-1 آسیب‌پذیری CVE-2025-7340

آسیب‌پذیری شناسایی‌شده در افزونه‌ی HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder برای وردپرس با شدت 9.8، تمامی نسخه‌های تا نسخه‌ی 2.2.1 را تحت تأثیر قرار می‌دهد. این ضعف امنیتی به دلیل نبود بررسی نوع فایل در تابع temp_file_upload رخ می‌دهد. در نتیجه، مهاجمان غیرمجاز (بدون احراز هویت) می‌توانند فایل‌هایی با پسوند و محتوای دلخواه خود را روی سرور سایت آسیب‌پذیر آپلود کنند. چنین قابلیتی این امکان را به مهاجم می‌دهد که فایل‌های مخربی مانند اسکریپت‌های PHP را در مسیرهای قابل اجرا بارگذاری کرده و در نهایت به اجرای کد از راه دور روی سرور قربانی دست یابد. این نوع آسیب‌پذیری به‌شدت خطرناک است و می‌تواند به تصرف کامل وب‌سایت منجر شود. برای جلوگیری از سوءاستفاده، به کاربران این افزونه توصیه می‌شود در اسرع وقت به نسخه‌ای امن و به‌روز مهاجرت کرده یا موقتاً افزونه را تا زمان انتشار وصله امنیتی توسط توسعه‌دهنده غیرفعال نمایند.

بر طبق بردار حمله، برای بهره‌برداری از این آسیب‌پذیری، مهاجم از طریق شبکه به سامانه مورد نظر دسترسی پیدا می‌کند (AV:N). این حمله دارای پیچیدگی پایینی است (AC:L) و نیازمند هیچ‌گونه امتیاز یا دسترسی قبلی در سیستم نیست (PR:N). همچنین، مهاجم برای موفقیت حمله نیازی به تعامل با کاربر هدف ندارد (UI:N). این آسیب‌پذیری در دامنه تغییرناپذیر سیستم قرار دارد (S:U) و بهره‌برداری موفق از آن می‌تواند به شدت محرمانگی (C:H)، یکپارچگی (I:H) و دسترس‌پذیری (A:H) سامانه را تحت تأثیر قرار دهد و امکان اجرای کد دلخواه و کنترل کامل وب‌سایت را فراهم کند.

1-2 آسیب‌پذیری CVE-2025-7341

آسیب‌پذیری دیگر که به‌صورت مشابه به نقص در فرآیند بارگذاری فایل مرتبط است و بهره‌برداری از آن می‌تواند موجب افزایش میزان دسترسی مهاجم و نفوذ گسترده‌تر شود. شدت این آسیب‌پذیری 9.1 (بسیار بالا) بوده که حاکی از خطر جدی برای امنیت سایت‌ها و کاربران آنهاست. این آسیب‌پذیری ناشی از نبود اعتبارسنجی مسیر فایل در تابع ()temp_file_delete است. در نتیجه، مهاجم غیرمجاز می‌تواند فایل‌های دلخواه موجود در سرور را حذف کند. این ضعف امنیتی ممکن است به حذف فایل‌های حیاتی و حساس مانند wp-config.php منجر شود. در چنین شرایطی، وب‌سایت ممکن است در مرحله بارگذاری مجدد، به‌اشتباه یک نصب جدید وردپرس را شروع کند یا امکان بارگذاری اسکریپت مخرب فراهم شود که به اجرای کد از راه دور منتهی می‌شود.

بر طبق بردار حمله، این آسیب‌پذیری به مهاجم اجازه می‌دهد تا از طریق شبکه (AV:N) و با پیچیدگی پایین (AC:L) حمله خود را انجام دهد. مهاجم برای انجام این حمله نیازی به امتیاز یا دسترسی خاصی در سیستم هدف ندارد (PR:N) و هیچ تعامل کاربری نیز برای موفقیت حمله لازم نیست (UI:N). دامنه این آسیب‌پذیری در خود سیستم باقی می‌ماند و تغییری در محدوده امنیتی ایجاد نمی‌شود (S:U). بهره‌برداری موفق از این نقص می‌تواند به شدت یکپارچگی (I:H) و دسترس‌پذیری (A:H) سیستم را تحت تأثیر قرار دهد، اگرچه تأثیری بر محرمانگی (C:N) ندارد، اما می‌تواند منجر به دستکاری داده‌ها و از کار انداختن سرویس شود.

محصولات آسیب‌پذیر

• افزونه‌ی HT Contact Form Widget نسخه‌های پیش از 2.2.2 روی وردپرس که قابلیت ساخت فرم‌های تماس و مدیریت فایل‌ها را فراهم می‌کند.

توصیه‌های امنیتی

• در صورت استفاده از نسخه‌های تا 2.2.1، افزونه را موقتاً غیرفعال کرده و در صورت انتشار وصله، فوراً به نسخه امن ارتقاء دهید.
• از طریق تنظیمات سرور، دسترسی به فایل‌های حیاتی مانند wp-config.php را محدود نمایید تا امکان اجرای فایل یا حذف آن وجود نداشته باشد.
• از یک فایروال برنامه‌وب (WAF) استفاده کنید تا درخواست‌های مخرب مرتبط با بارگذاری و حذف فایل را مسدود کند.
• با استفاده از افزونه‌های امنیتی وردپرس، فایل‌های سایت را به‌صورت منظم اسکن و تغییرات مشکوک را بررسی کنید.
• به‌طور دوره‌ای از فایل‌ها و پایگاه داده سایت پشتیبان بگیرید تا در صورت حمله، بتوانید سریعاً سایت را بازیابی کنید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7340

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-7341

pyLoad یک ابزار متن‌باز مدیریت دانلود است که با داشتن رابط وب و امکان نصب روی سیستم‌های لینوکسی سبک، توسط کاربران حرفه‌ای و مدیران سرور برای خودکارسازی دانلود فایل‌ها از منابعی مانند سرویس‌های اشتراک‌گذاری، پشتیبانی از لینک‌های مستقیم و پردازش خودکار CAPTCHA استفاده می‌گردد. اخیراً یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-53890 و شدت 9.8 در بخش مربوط به پردازش CAPTCHA در این ابزار شناسایی شده است. به‌دلیل ارتباط مستقیم pyLoad با اینترنت و تعامل با فایل‌ها، این نقص می‌تواند تهدید بزرگی برای کاربران و سرورهای مرتبط باشد.

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-53890 به دلیل ارزیابی ناامن جاوااسکریپت در فرآیند پردازش CAPTCHA در pyLoad به وجود آمده است. این نقص امنیتی به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد کد مخرب دلخواه خود را در مرورگر قربانی و در برخی موارد امکان اجرای کد مخرب در سمت سرور را نیز فراهم نماید. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به سرقت نشست فعال کاربر، سرقت اطلاعات حساس و کنترل کامل سیستم گردد.

بردار CVSS:
3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

نشان می‌دهد که آسیب‌پذیری مذکور به مهاجمان اجازه می‌دهد با پیچیدگی پایین و بدون داشتن دسترسی قبلی یا نیاز به تعامل با کاربر، حمله‌ای از طریق شبکه انجام دهند که تأثیرات آن شامل افشای کامل اطلاعات، تغییرات در داده‌ها و کاهش دسترس‌پذیری سیستم است.

نسخه‌های تحت تأثیر

• نسخه‌های قبل از 0.5.0b3.dev89 تحت تأثیر این آسیب‌پذیری قرار دارند. وصله این نقص در نسخه‌ای که با شناسه‌ی 909e5c97885237530d1264cfceb5555870eb9546 ثبت شده، ارائه و در نسخه‌ی 0.5.0b3.dev89 و بعد از آن اعمال شده است.

توصیه‌های امنیتی

• به‌روزرسانی به نسخه‌ی امن pyLoad (حداقل نسخه 0.5.0b3.dev89).
• محدودسازی دسترسی به رابط کاربری pyLoad به شبکه‌ای امن.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53890

[2]https://github.com/pyload/pyload/commit/909e5c97885237530d1264cfceb5555870eb9546

[3]https://www.cve.org/CVERecord?id=CVE-2025-53890

[4]https://www.cvedetails.com/cve/CVE-2025-53890

دو آسیب‌پذیری جدی در سامانه‌ی XWiki Rendering کشف شده است که امکان اجرای کد دلخواه (Code Injection) و حملات XSS پیشرفته را برای مهاجم فراهم می‌کند:

1. آسیب‌پذیری CVE-2025-53836 (شدت: 9.9)

این آسیب‌پذیری در سیستم XWiki Rendering، که یک سیستم عمومی برای تبدیل ورودی‌های متنی (مانند سینتکس ویکی، HTML و غیره) به خروجی‌های دیگر (مانند XHTML) است، شناسایی شده است.

در نسخه‌های 4.2-milestone-1 تا قبل از 13.10.11، 14.4.7 و 14.10، پردازشگر پیش‌فرض محتوای ماکروها، صفت «restricted» در زمینه‌ی تبدیل (transformation context) را هنگام اجرای ماکروهای تودرتو حفظ نمی‌کند. این نقص، امکان اجرای ماکروهای ممنوعه در حالت محدود (مانند ماکروهای اسکریپت) را فراهم می‌کند؛ به‌ویژه ماکروهای cache و chart که در XWiki گنجانده شده‌اند.

این آسیب‌پذیری در نسخه‌های 13.10.11، 14.4.7 و 14.10 برطرف شده است. برای جلوگیری از بهره‌برداری از این نقص، می‌توان قابلیت افزودن نظرات را برای کاربران غیرمعتبر غیرفعال کرد تا زمان ارتقا به نسخه‌های اصلاح‌شده. با این حال، کاربران با دسترسی ویرایش همچنان می‌توانند از طریق ویرایشگر Object نظرات را اضافه کنند.

1. آسیب‌پذیری CVE-2025-53835 (شدت: 9.0)

در نسخه‌های 5.4.5 تا قبل از 14.10، سینتکس XHTML به سینتکس xdom+xml/current وابسته بود که امکان ایجاد بلوک‌های خام را فراهم می‌کرد. این بلوک‌ها اجازه درج محتوای HTML دلخواه، از جمله کدهای جاوااسکریپت، را می‌دادند. این قابلیت، امکان حملات XSS (اسکریپت‌نویسی بین‌سایتی) را برای کاربرانی که قادر به ویرایش اسناد هستند، فراهم می‌کرد.

این آسیب‌پذیری در نسخه‌ی 14.10 با حذف وابستگی به xdom+xml/current برطرف شده است. توجه داشته باشید که سینتکس xdom+xml همچنان در برابر این حمله آسیب‌پذیر است. از آن‌جا که هدف اصلی این سینتکس تست است و استفاده از آن نسبتاً پیچیده است، نباید در ویکی‌های عملیاتی نصب یا استفاده شود. هیچ راه‌حل موقتی به‌جز ارتقا به نسخه 14.10 وجود ندارد.

ترکیب این دو آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه روی کلاینت و حتی در برخی موارد اجرای کد در سمت سرور و دور زدن محدودیت‌های امنیتی شود.

محصولات آسیب‌پذیر

• نسخه‌های XWiki Rendering از 4.2-milestone-1 تا قبل از 13.10.11، 14.4.7، 14.10
• نسخه‌های XWiki Rendering از 5.4.5 تا قبل از 14.10

توصیه‌های امنیتی

1. فوراً به یکی از نسخه‌های امن ارتقاء دهید:

   • نسخه‌های امن: 13.10.11، 14.4.7، 14.10

2. در صورتی که ارتقاء فوری ممکن نیست:

   • دسترسی به کامنت‌گذاری و ویرایش ماکروها را برای کاربران غیرقابل اعتماد غیرفعال کنید.

   • قالب xdom+xml را حذف یا غیرفعال کرده و اطمینان حاصل کنید که در ویکی‌های عملیاتی استفاده نمی‌شود.

   • لاگ‌ها و فعالیت‌های کاربران دارای سطح دسترسی ویرایش را بررسی کرده و به‌دنبال رفتار مشکوک باشید.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-53836

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-53835

آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-7619 در نرم‌افزار BatchSignCS شناسایی شده است؛ ابزاری که در پس‌زمینه سیستم‌عامل ویندوز اجرا می‌شود و برای امضای دسته‌ای فایل‌ها به‌کار می‌رود. این آسیب‌پذیری به‌دلیل ضعف در اعتبارسنجی مسیر نوشتن فایل در مؤلفه‌ای از این نرم‌افزار رخ می‌دهد. در این حالت، مهاجم با دسترسی محدود (PR:L) می‌تواند فایل‌هایی را در مسیرهای حساس سیستم ایجاد یا بازنویسی کند که ممکن است منجر به اجرای کد مخرب در سطح سیستم شود. این ضعف تحت دسته‌بندی CWE-73: External Control of File Path قرار دارد.

با توجه به بردار حمله اعلام‌شده:
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

این حمله از راه دور و از طریق شبکه قابل انجام است (AV:N)، بدون نیاز به تعامل کاربری (UI:N) و با پیچیدگی کم (AC:L) بهره‌برداری می‌شود. این آسیب‌پذیری تأثیر شدیدی بر محرمانگی (VC:H)، تمامیت داده‌ها (VI:H) و دسترسی‌پذیری سیستم (VA:H) دارد. با وجود انتشار کدهای اثبات مفهومی (PoC)، هنوز گزارشی از واکنش رسمی تولیدکننده منتشر نشده و احتمال سوءاستفاده در حملات واقعی وجود دارد.

محصولات آسیب‌پذیر

• BatchSignCS: نرم‌افزاری ویندوزی که توسط شرکت WellChoose توسعه داده شده و برای امضای دسته‌ای فایل‌ها استفاده می‌شود.

توصیه‌های امنیتی

• به‌روزرسانی نرم‌افزار
• حذف یا غیرفعال‌سازی BatchSignCS (در صورت عدم نیاز)
• محدود کردن دسترسی کاربران با سطح پایین
• نظارت فعالانه بر ترافیک شبکه برای شناسایی رفتارهای غیرعادی
• استفاده از ابزارهای امنیتی مانند آنتی‌ویروس و ابزارهای تشخیص نفوذ
• آموزش کاربران برای جلوگیری از اقدامات ناخواسته یا باز کردن فایل‌های مشکوک

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7619

آسیب‌پذیری CVE-2025-7620 یکی از موارد پرخطر در حوزه امنیت سایبری است که شدت آن 8.8 از 10 ارزیابی شده است. این آسیب مربوط به مؤلفه‌ای نرم‌افزاری از شرکت Digitware System Integration Corporation است که برای تولید اسناد رسمی در مرورگرها به‌کار می‌رود. ضعف اصلی آن به مهاجم اجازه می‌دهد تا از طریق هدایت کاربر به وب‌سایت مخرب، کدی دلخواه را روی سیستم قربانی اجرا کند؛ بدون آن‌که نیاز به احراز هویت یا دسترسی خاصی داشته باشد.

در این آسیب‌پذیری، نرم‌افزار کدی را بدون بررسی اعتبار آن از یک منبع خارجی دانلود و اجرا می‌کند. وجود این نقص باعث می‌شود مهاجم بتواند کنترل کامل سیستم را در اختیار بگیرد، اطلاعات حساس را استخراج کند، یا حتی آن را برای حملات بعدی آلوده سازد. تعامل کاربر برای اجرای این حمله لازم است، ولی پیچیدگی پایین آن و عدم نیاز به مجوزهای خاص، باعث شده تهدیدی جدی تلقی شود.

بردار حمله برای این آسیب‌پذیری مطابق با نسخه‌ی 4.0 استاندارد CVSS به‌صورت زیر ارزیابی شده است:

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

بر اساس این بردار، حمله از راه دور و از طریق شبکه (AV:N) قابل انجام است و نیاز به هیچ سطحی از دسترسی اولیه یا احراز هویت ندارد (PR:N). بهره‌برداری از این ضعف با پیچیدگی پایین انجام می‌شود (AC:L) و نیازی به فناوری خاصی ندارد (AT:N)، اما به تعامل کاربر نیاز دارد (UI:A)، به‌عنوان مثال از طریق کلیک روی لینک مخرب یا باز کردن یک فایل آلوده. این آسیب‌پذیری تأثیر بالایی بر سه مؤلفه اصلی امنیت دارد: محرمانگی اطلاعات (VC:H)، تمامیت داده‌ها (VI:H) و دسترس‌پذیری سیستم (VA:H)، در حالی که تأثیری بر زیرساخت‌های فنی (SC:N)، امنیت سایبری سطح بالا (SI:N) و ایمنی فیزیکی یا انسانی (SA:N) ندارد.

محصولات آسیب‌پذیر

نسخه‌ی 1.6.8 و پایین‌تر از مؤلفه‌ی Cross-Browser Document Creation توسعه داده‌شده توسط شرکت Digitware System Integration Corporation

توصیه‌های امنیتی

• غیرفعال‌سازی مؤلفه آسیب‌پذیر
• اجتناب از بازدید سایت‌های ناشناس یا مشکوک
• استفاده از ابزارهای امنیتی مرورگر مانند افزونه‌های NoScript یا uBlock Origin
• به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
• نظارت بر رفتار سیستم و بررسی لاگ‌ها
• استفاده از فایروال و آنتی‌ویروس معتبر

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7620

Apache Jackrabbit یک پیاده‌سازی متن‌باز و سازگار با JCR است که با فراهم‌سازی ماژول‌هایی نظیر jackrabbit-core و jackrabbit-spi-commons، در زمینه‌های ذخیره‌سازی، مدیریت مجوزها و پردازش XML مورد استفاده قرار می‌گیرد و یکی از اجزای کلیدی در بسیاری از سامانه‌های مدیریت محتوا محسوب می‌شود.

اخیراً یک آسیب‌پذیری با شناسه‌ی CVE-2025-53689 و شدت 8.8 از نوع نهادهای خارجی (XXE) در این دو ماژول شناسایی شده است. طراحی نادرست پردازشگر XML به مهاجم اجازه می‌دهد داده‌هایی را از منابع داخلی سیستم سرقت کرده یا بر عملکرد آن تأثیر بگذارد.

جزئیات آسیب‌پذیری

در نسخه‌های آسیب‌پذیر از ماژول‌های jackrabbit-spi-commons و jackrabbit-core، از یک سازنده ناامن برای تجزیه اسناد XML استفاده شده است که فاقد پیکربندی مناسب جهت جلوگیری از بارگذاری نهادهای خارجی است. این نقص منجر به آسیب‌پذیری Blind XXE شده است.

در این نوع حمله، مهاجم می‌تواند با ارسال ورودی XML دلخواه، موفق به دسترسی غیرمجاز به منابع داخلی سرور یا افشای اطلاعات حساس شود، بدون آن‌که نتیجه حمله را مستقیماً از طریق پاسخ سرور دریافت کند. مهاجم ممکن است از طریق لاگ‌های سرور خود یا رفتار غیرعادی سامانه، متوجه موفقیت حمله شود.

بردار این آسیب‌پذیری به‌صورت زیر است:

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

این بردار نشان می‌دهد مهاجم با دسترسی محدود می‌تواند از طریق شبکه، با استفاده از ورودی‌های XML و بدون نیاز به تعامل کاربر، یک پیام XML مخرب ارسال کرده و از ضعف موجود در پردازشگر XML بهره‌برداری کند. پیچیدگی پایین حمله و امکان تأثیرگذاری بالا بر محرمانگی، یکپارچگی و دسترسی‌پذیری سیستم، این آسیب‌پذیری را در طبقه‌بندی "شدید" قرار داده است.

نسخه‌های تحت تأثیر

نسخه‌های زیر از Apache Jackrabbit تحت تأثیر این آسیب‌پذیری قرار دارند:

تمام نسخه‌های jackrabbit-core و jackrabbit-spi-commons قبل از:

• نسخه‌ی 2.20.17 برای Java 8
• نسخه‌ی 2.22.1 برای Java 11
• نسخه‌ی 2.23.2 برای Java 11 (نسخه‌های بتا)

توجه: نسخه‌های قدیمی‌تر مانند 2.20.16 و قبل از آن دیگر پشتیبانی نمی‌شوند و باید به نسخه‌های جدید به‌روزرسانی گردند.

توصیه‌های امنیتی

1. به‌روزرسانی به نسخه‌های امن:
   بروزرسانی کتابخانه‌های آسیب‌پذیر به نسخه‌های غیرآسیب‌پذیر:

   • نسخه‌ی 2.20.17 برای سیستم‌های مبتنی بر Java 8

   • نسخه‌ی 2.22.1 یا 2.23.2 برای سیستم‌های مبتنی بر Java 11
     استفاده از نسخه‌های منسوخ یا بتا توصیه نمی‌شود.

2. محدودسازی دسترسی‌ها در سطح سیستم‌عامل:
   اطمینان حاصل شود که فایل‌های حساس مانند فایل‌های پیکربندی یا کلیدهای رمزنگاری برای سرویس‌دهنده XML قابل‌دسترس نباشند.

منابع خبر:

[1]https://jackrabbit.apache.org/security.html

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-53689

[3]https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing

[4]https://www.cve.org/CVERecord?id=CVE-2025-53689

[5]https://www.cvedetails.com/cve/CVE-2025-53689

آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-7574 در چندین مدل از مسیریاب‌های شرکت LB-LINK، شامل مدل‌های BL-AC1900 ،BL-AC2100_AZ3 ،BL-AC3600، BL-AX1800 ،BL-AX5400P و BL-WR9000 شناسایی شده است. این آسیب‌پذیری به عملکرد reboot/restore در فایل cgi-bin/lighttpd.cgi/ مربوط به رابط وب (Web Interface) دستگاه ارتباط دارد. وجود ضعف در احراز هویت (مطابق با ضعف امنیتی CWE-287) در این بخش، امکان اجرای عملیات‌های حساس بدون احراز هویت مناسب از راه دور را برای مهاجم فراهم می‌کند.

کدهای اثبات مفهومی (PoC) این حمله به‌صورت عمومی منتشر شده و احتمال سوءاستفاده از آن در حملات واقعی وجود دارد. با وجود اطلاع‌رسانی زودهنگام، تولیدکننده تاکنون هیچ پاسخی ارائه نکرده است.

بر اساس ارزیابی پایگاه VulDB، بردار حمله برای این آسیب‌پذیری مطابق با استاندارد CVSS نسخه 4.0 به شرح زیر است:
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

این بردار نشان می‌دهد که حمله از راه دور و بدون نیاز به احراز هویت (AV:N، PR:N، UI:N) و با پیچیدگی پایین (AC:L) قابل انجام است. هیچ تعامل کاربری نیاز نیست (UI:N) و مهاجم نیازی به فناوری خاصی ندارد (AT:N). شدت تأثیر این حمله بر محرمانگی (VC:H)، یکپارچگی (VI:H) و دسترسی‌پذیری (VA:H) بسیار بالا ارزیابی شده است، اما اثری بر ایمنی، امنیت سایبری یا زیرساخت ندارد (SC:N، SI:N، SA:N). همچنین با توجه به مقدار E:P، حمله در سطح عمومی شناخته شده و در دسترس است.

محصولات آسیب‌پذیر

مسیریاب‌های آسیب‌پذیر شامل مدل‌های زیر از شرکت LB-LINK هستند:

• BL-AC1900
• BL-AC2100_AZ3
• BL-AC3600
• BL-AX1800
• BL-AX5400P
• BL-WR9000

این مدل‌ها تا تاریخ 2025/07/02 تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی

• در صورت امکان، دسترسی به رابط وب دستگاه را از طریق شبکه‌های خارجی غیرفعال کنید.
• به‌روزرسانی سیستم‌عامل دستگاه به نسخه‌ای که آسیب‌پذیری در آن برطرف شده (در صورت انتشار) ضروری است.
• در غیاب پاسخ رسمی از سوی تولیدکننده، استفاده از فایروال یا محدودسازی IP برای دسترسی به پنل مدیریت دستگاه توصیه می‌شود.
• نظارت فعالانه بر لاگ‌ها و ترافیک شبکه برای شناسایی رفتارهای غیرعادی توصیه می‌شود.
• اگر نیاز به استفاده از رابط مدیریت از راه دور وجود ندارد، دسترسی آن را به‌طور کامل غیرفعال نمایید.

منبع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-7574