تهدید جدی برای سیستم‌های ویندوزی، لینوکسی و مجازی‌ساز ESXi

پژوهشگران امنیت سایبری به تازگی نسخه جدیدی از باج‌افزار LockBit را کشف کرده‌اند که با نام LockBit 5.0 شناخته می‌شود و سیستم‌های ویندوزی، لینوکسی و به‌ویژه زیرساخت‌های مجازی‌سازی مانند VMware ESXi را هدف قرار می‌دهد. این باج‌افزار به تازگی در ایران نیز قربانی گرفته است که اهمیت محافظت و مراقبت در مقابل این باج‌افزار را مضاعف می‌کند.

باج‌افزار LockBit یکی از مشهورترین باج‌افزارهای از نوع RaaS است و با ارائه این نسخه نشان داده است که نه‌تنها روی ایستگاه‌های کاری ویندوز متمرکز است، بلکه می‌تواند زیرساخت‌های مجازی و سرورهای لینوکسی را نیز مورد حمله قرار دهد.

نحوه فعالیت

نسخه ویندوزی LockBit 5.0 از ترفندهای Packing و Obfuscation سنگین استفاده می‌کند. به عنوان مثال payload را در حافظه بارگذاری می‌کند (DLL reflection) تا تحلیل ایستا توسط پژوهشگران را دشوار کند.

در مرحله اجرای اولیه، سرویس‌های امنیتی یا پشتیبان‌گیری را با هش کردن اسامی سرویس‌ها یافته و خاموش می‌کند، سپس لاگ‌های رویداد ویندوز (Event Logs) را پاکسازی می‌کند تا تحلیل حادثه مختل شود. همچنین، نام فایل‌های رمزگذاری شده با پسوند تصادفی ۱۶ کاراکتری همراه می‌شوند که کار بازیابی فایل‌ها را بسیار سخت‌تر می‌کند.

در نسخه لینوکسی، این باج‌افزار دارای رابط فرمان‌خطی (CLI) است که پارامترهایی برای انتخاب دایرکتوری‌ها، نوع فایل‌ها، و گزینه‌های لاگ‌گیری در اختیار مهاجم می‌گذارد. این یعنی مهاجم می‌تواند حمله را با ظرافت بیشتری برای مسیرهای مهم سیستم‌عامل لینوکس برنامه‌ریزی کند.

اما بخش بسیار حساس، نسخه ESXi است. این نسخه به‌صورت ویژه برای مجازی‌سازی طراحی شده است و می‌تواند دیسک‌های ماشین مجازی، فایل‌های پیکربندی VM و متادیتا را هدف قرار دهد تا با یک هاست ESXi آلوده، ده‌ها یا صدها ماشین مجازی را به یک باره رمزگذاری کند.

نکات قابل توجه

این نسخه از باج‌افزار LockBit 5.0 زبان سیستم / موقعیت جغرافیایی را بررسی می‌کند. تا در صورت تشخیص زبان روسی یا موقعیت روسیه، عملیات خود در سیستم قربانی را متوقف کند.

کدمنبع این باج‌افزار بسیار با نسخه قبلی آن یعنی LockBit 4.0 شباهت دارد. از جمله الگوریتم‌های مورد استفاده در هش‌کردن رشته‌ها و روش‌های resolve API به صورت پویا. بنابراین نسخه 5.0 یک بازنویسی کامل نیست، بلکه ارتقاء یافته نسبت به نسخه‌های قبلی است.

همچنین بررسی‌ها حاکی از آن است که نسخه 5.0 این باج‌افزار رابط کاربری و امکانات بهتری برای اپراتورهای خود قرار داده است. این امکانات شامل گزینه‌های بیشتر و واضح‌تر، منوهای روشن‌تر و امکان سفارشی‌سازی بالاتر برای اجرای حمله را فراهم می‌کند؛ این یعنی امکان دارد با توجه به ماهیت RaaS این باج‌افزار، گروه مهاجم به جذب مهاجمان جدید با مهارت کمتر اما با خسارت بیشتر برای قربانیان روی آورده باشد.

توصیه‌های امنیتی

با توجه به گستردگی تهدید این باج‌افزار، پیشنهاد می‌شود:

• آموزش کاربران: مهمترین خط دفاعی، آموزش کاربران برای شناسایی و گزارش فیشینگ است.
• مدیریت وصله‌های امنیتی (Patch Management): به روزرسانی سریع و منظم تمام نرم‌افزارها و سیستم‌عامل‌ها.
• اصل کمترین دسترسی (Principle of Least Privilege): کاربران تنها دسترسی لازم برای انجام کار خود را داشته باشند.
• احراز هویت چندعاملی (MFA): فعال‌سازی MFA به ویژه برای دسترسی‌های راه دور (RDP, VPN).
• پشتیبان‌گیری منظم (Backups): داشتن نسخه‌های پشتیبان آفلاین (Offline) یا غیرقابل نوشتن (Immutable) که باج‌افزار نتواند به آن‌ها دسترسی پیدا کند. تست منظم بازیابی این پشتیبان‌ها حیاتی است.
• جداسازی شبکه (Network Segmentation): تقسیم شبکه به بخش‌های کوچک‌تر (Vlaning) تا از گسترش افقی باج‌افزار جلوگیری شود.
• شکار تهدید (Threat Hunting) و نظارت ویژه: فایل‌هایی با پسوند ۱۶ کاراکتر تصادفی که نشانه رمزگذاری هستند، لاگ‌های پاک‌شده یا سرویس‌های امنیتی خاموش‌شده، می‌توانند شاخص‌هایی برای کشف حمله باشند.
• راهکارهای امنیتی پیشرفته: استفاده از EDR (Endpoint Detection and Response) و نرم‌افزارهای آنتی‌ویروس نسل جدید (NGAV) برای شناسایی رفتارهای مشکوک.

منابع:

• https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html
• https://www.netsecurity.com/lockbit-5-0-resurface-with-cross%E2%80%91platform-ransomware-that-targets-windows-linux-and-esxi/

افزونه ELEX WordPress HelpDesk & Customer Ticketing System  یک افزونه پشتیبانی و مدیریت تیکت در وردپرس است. با استفاده از این افزونه، می‌توان تمام سوالات، مشکلات و پیشنهادات کاربران را به‌صورت تیکت دریافت کرد. این افزونه از تیکت نامحدود، نماینده نامحدود پشتیبانی می‌کند و دارای قابلیت‌هایی مانند ایمیل پایپینگ، برچسب‌گذاری خودکار تیکت‌ها، اختصاص‌دهی خودکار تیکت‌ها، فرم سفارشی ارسال تیکت، فیلتر کردن ایمیل، مسدودسازی ایمیل، تریگرها و اتوماسیون، قالب پاسخ سریع، امتیازدهی رضایت نمایندگان، بازخورد مشتری و موارد بسیار دیگر است.

در نسخه‌های 3.3.1 و قبل آن این افزونه، به دلیل نبود اعتبارسنجی نوع فایل در تابع   eh_crm_new_ticket_post() در تمامی نسخه‌های 3.3.1 و قبل آن، نسبت به آپلود فایل دلخواه آسیب‌پذیر است. این آسیب‌پذیری باعث می‌شود مهاجمان بدون نیاز به احراز هویت بتوانند فایل‌های دلخواه را روی سرور سایت قربانی آپلود کنند که ممکن است منجر به اجرای کد از راه دور شود.

محصولات آسیب‌پذیر

نسخه‌های 3.3.1 و قبل آن

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت استفاده از این افزونه آن را به نسخه 3.3.2 و بالاتر به­ روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-11456

آسیب‌پذیری CVE-2025-65015 با شدت 9.2 در کتابخانه Pythonی joserfc به‌دلیل نحوه نامناسب مدیریت خطاهای مرتبط با توکن‌های JWT بیش‌ازحد بزرگ ایجاد می‌شود. در هنگام پردازش یک JWT با اندازه غیرعادی، کتابخانه استثنای ExceededSizeError را صادر می‌کند، اما پیام این خطا شامل بخش‌های رمزگشایی‌نشده توکن است که مستقیماً وارد سیستم لاگ می‌شود. این رفتار می‌تواند منجر به افشای داده‌های حساس در لاگ‌ها و همچنین ایجاد لاگ‌های بسیار حجیم در صورت ارسال عمدی توکن‌های ساختگی توسط مهاجم شود. این نقص زمانی خطرناک‌تر می‌شود که یک وب‌سرور نامناسب یا بدون پیکربندی محافظتی مناسب در برابر برنامه Python قرار داشته باشد و مهاجم بتواند توکن‌های دلخواه در Header درخواست ارسال کند. در چنین شرایطی، سامانه لاگینگ یا ابزارهای مانیتورینگ مانند Sentry ممکن است دچار فشار پردازشی یا حجمی شوند. این مشکل در نسخه‌های 1.3.5 و 1.4.2 اصلاح شده است و به‌روزرسانی فوری توصیه می‌شود.

                     محصولات تحت‌تأثیر

• کتابخانه Python joserfc
• نسخه‌های 1.3.3 تا قبل از 1.3.5
• نسخه‌های 1.4.0 تا قبل از 1.4.2
• تمام برنامه‌های وب Python که برای پردازش JWT از joserfc استفاده می‌کنند.
• APIها و سرویس‌های احراز هویت مبتنی بر JWT که توکن را از طریق HTTP Header دریافت می‌کنند.
• سیستم‌های لاگینگ و مانیتورینگ وابسته به خروجی برنامه
• (مثل Python logging، Sentry، ELK و سایر ابزارهای SIEM)
• محیط‌هایی با وب‌سرورهای غیرپیکربندی‌شده یا بدون محدودیت اندازه Header
• (Nginx، Apache یا سرورهای توسعه داخلی)

توصیه‌های امنیتی

• به‌روزرسانی فوری کتابخانه joserfc به نسخه‌های 1.3.5 یا 1.4.2 و بالاتر.
• محدود کردن اندازه Header در وب‌سرور (Nginx/Apache) برای جلوگیری از ارسال توکن‌های بسیار بزرگ.
• عدم ثبت مستقیم داده‌های حساس در لاگ‌ها و فعال‌سازی log sanitization.
• استفاده از WAF برای جلوگیری از ارسال Payloadهای غیرعادی یا بیش‌ازحد بزرگ.
• ایزوله‌سازی و نظارت بر سیستم‌های لاگینگ برای جلوگیری از مصرف بیش‌ازحد حافظه یا Crash.
• جلوگیری از نمایش پیام‌های خطای کامل در محیط Production (خاموش‌کردن debug)..

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2025-65015

یک آسیب‌پذیری در اجرای احراز هویت متقابل  (mTLS) TLS در  APIهای سیستم  RESTو سرویس‌های  SOAPدر چندین محصول WSO2  وجود دارد. به دلیل اعتبارسنجی نادرست احراز هویت مبتنی بر گواهی مشتری در برخی پیکربندی‌های پیش‌فرض، اجزای تحت تأثیر ممکن است درخواست‌های بدون احراز هویت را حتی زمانی که mTLS  فعال است، مجاز کنند. این مشکل زمانی رخ می‌دهد که از تنظیمات پیش‌فرض  mTLS برای APIهای سیستم REST  یا زمانی که احراز هویت‌کننده mTLS  برای سرویس‌های SOAP فعال باشد، استفاده شود که باعث می‌شود این رابط‌ها درخواست‌ها را بدون اعمال احراز هویت اضافی قبول کنند. بهره‌برداری موفق از این آسیب‌پذیری به مهاجمانی که دسترسی شبکه به این نقاط پایانی دارند، اجازه می‌دهد تا به امتیازات مدیریتی دست یابند و عملیات غیرمجاز انجام دهند. این آسیب‌پذیری تنها زمانی قابل بهره‌برداری است که جریان‌های mTLS آسیب‌دیده فعال و در دسترس باشند. سایر مکانیزم‌های احراز هویت مبتنی بر گواهی مانند احراز هویت مشتری  OAuth مبتنی بر mTLS  و جریان‌های ورود X.509 تحت تأثیر قرار نمی‌گیرند و  APIهایی که از طریق دروازه  API در  WSO2 API Managerارائه می‌شوند، تحت تأثیر قرار نمی‌گیرند.

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت انتشار وصله فورا آن  را به­‌روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-9312

آسیب‌پذیری CVE-2024-44659 با شدت 9.8 یک نقص SQL Injection در نرم‌افزار PHPGurukul Online Shopping Portal نسخه 2.0 است که از طریق پارامتر email در صفحه forgot-password.php قابل بهره‌برداری است. به‌دلیل نبود هرگونه اعتبارسنجی و فیلترسازی ورودی، مهاجم می‌تواند مقادیر دلخواه را به Query پایگاه داده تزریق کرده و ساختار آن را تغییر دهد. این حمله بدون نیاز به احراز هویت انجام می‌شود و امکان استخراج اطلاعات حساس کاربران، دور زدن فرآیند بازیابی رمز عبور، دستکاری داده‌ها و حتی دستیابی به کنترل کامل دیتابیس را فراهم می‌کند. با توجه به عدم ارائه وصله از سوی توسعه‌دهنده، نسخه آسیب‌پذیر همچنان در معرض خطر است و احتمال تأثیر بر تمامی نصب‌های فعال وجود دارد. این نقص از نوع High/ Critical Severity SQL Injection محسوب می‌شود و نیازمند کاهش فوری سطح دسترسی و اعمال کنترل‌های امنیتی جانبی است..

                       محصولات تحت‌تأثیر

• PHPGurukul Online Shopping Portal – نسخه 2.0 (نسخه‌ای که آسیب‌پذیری در آن تأیید شده است)
• نصب‌هایی از Online Shopping Portal که از فایل forgot-password.php بدون فیلترسازی پارامتر email استفاده می‌کنند
• نسخه‌های مشابه یا Forkهای مشتق‌شده از PHPGurukul OSP (در صورت استفاده از همان منطق آسیب‌پذیر)

توصیه‌های امنیتی

• اصلاح کد صفحه forgot-password.php با استفاده از Prepared Statements / Parameterized Queries
• اعمال فیلترسازی و اعتبارسنجی ورودی (Sanitization & Validation) برای پارامتر email
• به‌روزرسانی یا اعمال Patch سفارشی در صورت عدم ارائه وصله رسمی توسط PHPGurukul
• محدود کردن سطح دسترسی دیتابیس (حدف مجوزهای غیرضروری مانند SELECT *, UPDATE، DELETE)
• استفاده از Web Application Firewall (WAF) با فعال‌سازی قوانین SQL Injection (مانند OWASP CRS)
• غیرفعال‌سازی موقت صفحه forgot-password در صورت عدم امکان Patch فوری
• مانیتورینگ و بررسی لاگ‌های MySQL/PHP برای کشف تلاش‌های تزریق SQL
• ایزوله‌سازی سرور و فایل‌های PHP برای جلوگیری از زنجیره حمله و محدود کردن اثرگذاری.

        منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2024-44659

یک آسیب‌پذیری در دستگاه‌های  D-Link مدل‌های DWR-M920، DWR-M921، DWR-M960،  DIR-822K و  DIR-825M نسخه 1.01.07 شناسایی شده است. این مشکل مربوط به پردازش ناشناخته فایل /boafrm/formTracerouteDiagnosticRun  می‌باشد. دستکاری آرگومان host می‌تواند منجر به سرریز بافر شود. این حمله ممکن است از راه دور اجرا شود. اکسپلویت آن به طور عمومی منتشر شده است و می‌تواند مورد سوءاستفاده قرار گیرد.

این آسیب‌پذیری در داخل تابع sub_421144  قرار دارد که تابع  sub_421080 را فراخوانی می‌کند. این تابع از تابع  sprintf برای تجزیه پارامتر "host" از درخواست ورودی استفاده می‌کند. به دلیل عدم بررسی صحیح محدوده ورودی‌ها، مهاجم می‌تواند پارامتر"host"  بزرگی ارسال کند که موجب بازنویسی پشته برنامه می‌شود. این می‌تواند منجر به خرابی برنامه، خراب شدن حافظه و در نهایت اجرای کد دلخواه بر روی سرور شود.

محصولات آسیب‌پذیر

مدل‌های DWR-M920، DWR-M921، DWR-M960،  DIR-822K و DIR-825M نسخه 1.01.07

توصیه‌های امنیتی

به کاربران توصیه می­شود در صورت انتشار وصله توسط شرکت سازنده فورا Firmware  را به ­روزرسانی نمایند.

منابع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-13305
• https://github.com/LX-LX88/cve/issues/12

یک آسیب‌پذیری بحرانی با شناسه CVE-2025-13189 و شدت  8.8 (High) در روتر D-Link DIR-816L با فریمور نسخه b09_beta_06_2  شناسایی شده است.

این آسیب پذیری از نوع سر ریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) و ناشی از نقص در فایل اجرایی به نام gena.cgi داخل روتر است. مهاجم می‌تواند با ارسال مقادیر دستکاری‌شده و طولانی در آرگومان‌های SERVER_ID یا  HTTP_SID،  این آسیب‌پذیری را فعال کند و در این صورت روتر نمی‌تواند درست پردازش کند ، بافر پر می‌شود و داده‌ها سرریز می‌شود در نهایت روتر دچار مشکل یا حتی قابل ‌نفوذ می‌شود.

جزئیات فنی (بردار حمله CVE-2025-62481):

 این آسیب‌پذیری با بردار حمله CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H ارزیابی شده است. به این معنا که مهاجم می‌تواند از راه دور و از طریق شبکه ، بدون شرایط پیچیده حمله را انجام دهد (AC:L). بهره برداری از این آسیب پذیری نیازمند داشتن سطح دسترسی پایین (PR:L) مانند یک حساب کاربری معتبر است ولی بدون نیاز به تعامل با کاربر (UI:N) بوده و در همان محدوده آسیب پذیر باقی می ماند (S:U). همچنین می‌تواند منجر به دسترسی مهاجم به داده‌های حساس (C:H)، تغییر یا اجرای کد مخرب (I:H) شود یا حتی اختلال در سرویس یا از کار افتادن سیستم شود (A:H).

محصولات تحت تأثیر

نسخه‌های آسیب‌پذیر و نسخه‌هایی که در آن‌ها این آسیب‌پذیری برطرف شده است، در جدول زیر ارائه شده‌اند:

توصیه‌های امنیتی

برای رفع این آسیب‌پذیری و جلوگیری از سوءاستفاده مهاجمان، اقدامات زیر ضروری است:

• تعویض دستگاه آسیب‌پذیر با محصولی که هنوز پشتیبانی و وصله دارد.
• اگر تعویض فوری ممکن نیست، دستگاه را در VLAN جداگانه یا بخش ایزوله شبکه قرار دهید تا دسترسی به بقیه شبکه محدود شود.
• دسترسی به Web Management از WAN (اینترنت) را قطع کنید.
• فقط شبکه‌های امن و مورد اعتماد اجازه دسترسی داشته باشند.
• لاگ‌های وب و CGI دستگاه را برای درخواست‌های غیرمعمول با پارامترهای SERVER_ID یا HTTP_SID پایش کنید.
• ترافیک خروجی دستگاه را برای رفتار مشکوک زیر نظر داشته باشید.
• بررسی مداوم فرآیندها و وضعیت دستگاه برای کرش‌ها یا رفتار غیرمعمول ناشی از سرریز بافر.
• در صورت تشخیص فعالیت مشکوک یا بهره‌برداری، دستگاه را سریع از شبکه جدا کنید.

منبع

[1] https://www.tenable.com/cve/CVE-2025-13189

یک آسیب‌پذیری بحرانی با شناسه CVE‑2025‑9317 و شدت  8.4 (High) در مرورگر AVEVA Edge  شناسایی شده است.

این آسیب پذیری ناشی از ذخیره سازی ناایمن اطلاعات و استفاده از الگوریتم های هش ضعیف  و ذخیره آنها در فایل‌های Edge Project  یا Edge Offline Cache  است که مهاجم با استفاده از حملاتی نظیر Brute-force ، Dictionary Attack میتواند به اطلاعات حساس کاربر/کاربران مانند رمزهای عبور دسترسی پیدا کند. در نهایت، مهاجم از این رمزهای عبور برای ورود به حساب‌های کاربری، سرقت اطلاعات بیشتر و یا نفوذ عمیق‌تر به زیرساخت شبکه سازمان (در صورت دستیابی به رمز اکتیودایرکتوری) استفاده می‌کند.

جزئیات فنی (بردار حمله CVE-2025-62481):

 این آسیب‌پذیری با بردار حمله CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N ارزیابی شده است. به این معنا که مهاجم می‌تواند با دسترسی به سیستم هدف و بدون شرایط پیچیده حمله را انجام دهد (AC:L). بهره برداری از این آسیب پذیری نیازمند داشتن سطح دسترسی پایین (PR:L) مانند یک حساب کاربری معتبر است ولی بدون نیاز به تعامل با کاربر (UI:N) بوده  و تاثیر این آسیب پذیری فراتر از بخش اصلی آسیب دیده است و می تواند سایر قسمت های سیستم را نیز تحت تاثیر قرار دهد (S:C). همچنین می‌تواند منجر به دسترسی مهاجم به داده‌های حساس (C:H)، تغییر یا اجرای کد مخرب (I:H) شود ولی منجر به اختلال در سرویس یا از کار افتادن سیستم نمی شود (A:N).

محصولات تحت تأثیر

نسخه‌های آسیب‌پذیر و نسخه‌هایی که در آن‌ها این آسیب‌پذیری برطرف شده است، در جدول زیر ارائه شده‌اند:

توصیه‌های امنیتی

برای رفع این آسیب‌پذیری و جلوگیری از سوءاستفاده مهاجمان، اقدامات زیر ضروری است:

• فوراً به نسخه‌های وصله‌شده ارتقا دهید.
• بررسی کنید چه پروژه‌ها/سرورهایی فایل‌های Edge را نگه می‌دارند؛ دسترسی خواندن را محدود کنید.
• لاگ‌های فایل ‌سیستمی و پشتیبان گیری ها (BackUp) را برای استخراج یا دسترسی غیرعادی بررسی کنید.
• در صورت شواهد دسترسی، رمزهای مرتبط را ریست کنید و بررسی‌های عمیق‌تر (forensic) انجام دهید.

منابع

[1] https://www.aveva.com/en/support-and-success/cyber-security-updates

[2] https://nvd.nist.gov/vuln/detail/CVE-2025-9317

آسیب‌پذیری CVE‑2025‑54339 با شدت 10 یک ضعف در مکانیزم کنترل دسترسی در PingAlert Application Server نسخه‌های 6.1.0.11 تا 6.1.1.2 شناسایی شده که باعث می‌شود مهاجم بتواند از راه دور و بدون احراز هویت اولیه به بخش‌هایی از سرویس دسترسی پیدا کند که باید فقط توسط کاربران دارای امتیاز بالا قابل استفاده باشند. این نقص به مهاجم امکان ارتقای سطح دسترسی را می‌دهد و می‌تواند کنترل مدیریتی سرویس، تغییر تنظیمات هشدارها، مشاهده یا دستکاری داده‌های حساس و اعمال تغییرات سیستمی را فراهم کند. به دلیل اینکه این سرویس معمولاً در محیط‌های سازمانی یا زیرساخت‌های حساس مورد استفاده قرار می‌گیرد، بهره‌برداری از این آسیب‌پذیری می‌تواند پیامدهای عملیاتی و امنیتی گسترده‌ای داشته باشد. پیچیدگی حمله پایین است و مهاجم تنها با دسترسی شبکه‌ای می‌تواند اقدام به سوءاستفاده کند. این موضوع اهمیت اعمال سریع پچ و تقویت سیاست‌های کنترل دسترسی را دوچندان می‌کند.

محصولات تحت‌تأثیر

• PingAlert Application Server
• تمام نسخه‌های 6.1.0.11 تا 6.1.1.2 این محصول
• همه سامانه‌ها و سرورهایی که این نرم‌افزار روی آن‌ها نصب شده است
• محیط‌های سازمانی، دولتی و زیرساخت‌هایی که از PingAlert برای مدیریت پیام‌های هشدار و اطلاع‌ رسانی استفاده می‌کنند
• سیستم‌های شبکه‌ای که به این سرویس اجازه دسترسی از راه دور می‌دهد.

توصیه‌های امنیتی

• به‌روزرسانی نرم‌افزار: نسخه آسیب‌پذیر PingAlert Application Server را به آخرین نسخه وصله‌شده ارتقا دهید.
• محدودسازی دسترسی شبکه‌ای: دسترسی به سرور نرم‌افزار را به IPهای مورد اعتماد محدود کنید.
• بررسی و بازبینی حساب‌ها: حقوق کاربران و نقش‌های مدیریتی را مرور کرده و دسترسی‌های غیرضروری را حذف کنید.
• مانیتورینگ و پایش لاگ‌ها: فعالیت‌های مشکوک و تغییرات غیرمعمول در سرویس را شناسایی و پیگیری کنید.
• اعمال اصل کمترین امتیاز (Least Privilege): سطح دسترسی کاربران را فقط به آنچه ضروری است محدود کنید.
• اجرای تست نفوذ و بازبینی امنیتی: پس از اعمال پچ یا تغییرات امنیتی، بررسی کنید که آسیب‌پذیری رفع شده و مسیرهای دسترسی ناخواسته بسته شده‌اند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-54339

آسیب‌پذیری Relative Path Traversal در نسخه‌های Fortinet FortiWeb  شامل 8.0.0 تا 8.0.1، 7.6.0 تا 7.6.4، 7.4.0 تا 7.4.9، 7.2.0 تا 7.2.11 و 7.0.0 تا 7.0.11 ممکن است به مهاجم اجازه دهد با ارسال درخواست‌های خاص HTTP  یا  HTTPS، فرمان‌های مدیریتی را روی سیستم اجرا کند.

محصولات آسیب‌پذیر

نسخه‌های 8.0.0 تا 8.0.1، 7.6.0 تا 7.6.4، 7.4.0 تا 7.4.9، 7.2.0 تا 7.2.11 و 7.0.0 تا 7.0.11

توصیه‌های امنیتی

به کاربران توصیه می­شود تا زمان انجام به‌روزرسانی پروتکل‌های  HTTP یا  HTTPS را روی رابط‌ هایی که مستقیماً در معرض اینترنت هستند غیرفعال کنند. به کاربران توصیه می­شود در صورت استفاده از نسخه­ 8.0.0 تا 8.0.1 به نسخه 8.0.2 یا بالاتر، در صورت استفاده از نسخه 7.6.0 تا 7.6.4 به نسخه 7.6.5 یا بالاتر، در صورت استفاده از نسخه 7.4.0 تا 7.4.9 به نسخه 7.4.10 یا بالاتر، در صورت استفاده از نسخه 7.2.0 تا 7.2.11 به نسخه 7.2.12 یا بالاتر و در صورت استفاده از نسخه 7.0.0 تا 7.0.11 به نسخه 7.0.12 یا بالاتر به­ روزرسانی نمایند.

منبع خبر

• https://nvd.nist.gov/vuln/detail/CVE-2025-64446