مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/12/28 - 16:00- جنگ سایبری

ادعای حمله سایبری به ۱۱۶کشتی متعلق به وزارت نفت و شرکت کشتیرانی ملی ایران

🔹از بامداد امروز خبر حمله سایبری به ۱۱۶ کشتی متعلق به وزارت نفت و شرکت کشتیرانی ملی ایران توسط گروه لب دوختگان در برخی از خبرگزاری‌های معاند منتشر شد

زینب سلیمانی

انتشار شده در تاریخ 1404/02/24 - 07:23

کشف آسیب‌پذیری در SourceCodester Client Database Management System

نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی در این نرم افزار شناسایی شده است

به گزارش کارگروه امنیت سایبربان ؛ نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-46188 و CVE-2025-46189 و شدت 9.8 در نسخه‌ی 1.0 این نرم‌افزار شناسایی شده است که مهاجم را قادر می‌سازد بدون احراز هویت، دستورات SQL مخرب را از راه دور اجرا کند.

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-46188 یک نقص امنیتی از نوع تزریق SQL است که در فایل superadmin_phpmyadmin.php در نسخه‌ی آسیب‌پذیر نرم‌افزار وجود دارد. در این فایل، خطوط ۲۴ تا ۲۹ فایل‌های .sql آپلودشده را بدون اعتبارسنجی محتوا ذخیره می‌کنند. سپس در خطوط ۱۱۳ تا ۱۳۲، این فایل‌ها مستقیماً با تابع multi_query() اجرا می‌شوند که امکان اجرای چندین دستور SQL در یک درخواست را فراهم می‌سازد. این ضعف موجب می‌شود مهاجم بتواند با آپلود فایل حاوی دستورات مخرب، تزریق SQL زنجیره‌ای انجام داده و کنترل کامل پایگاه داده را به‌دست آورد.

آسیب‌پذیری CVE-2025-46189 به دلیل فیلتر نکردن مناسب ورودی پارامتر order_id در درخواست POST در فایل user_order_customer_update.php رخ می‌دهد و باعث می‌شود مهاجم بتواند با ارسال داده‌ی دلخواه به پارامتر مذکور، دستورات SQL دلخواه خود را مستقیماً در پایگاه داده اجرا کرده و به اطلاعات حساس دسترسی پیدا کند یا حتی آن‌ها را تغییر دهد.

بردار هر دو آسیب‌پذیری به‌صورت
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ارزیابی شده است، که نشان می‌دهد این حملات از راه دور و بدون نیاز به تعامل کاربر و با سطح دسترسی صفر امکان‌پذیر است، پیچیدگی آن‌ها پایین بوده و تأثیر آن‌ها بر محرمانگی، تمامیت و دسترس‌پذیری بسیار زیاد و بحرانی است.

نسخه‌های تحت تأثیر

نسخه‌ی 1.0 این نرم‌افزار تحت تأثیر این دو آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی

به‌روزرسانی نرم‌افزار: در صورت انتشار وصله‌ی امنیتی توسط توسعه‌دهنده‌ی SourceCodester، نرم‌افزار فوراً باید به‌روزرسانی شود.
محدودسازی دسترسی پایگاه داده: کاربر پایگاه داده باید حداقل سطح دسترسی را داشته باشد.

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-46188

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-46188

[3]https://www.cve.org/CVERecord?id=CVE-2025-46188

[4]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46188.md

[5]https://www.cvedetails.com/cve/CVE-2025-46189

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-46189

[7]https://www.cve.org/CVERecord?id=CVE-2025-46189

[8]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46189.md