مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

زینب سلیمانی

انتشار شده در تاریخ 1404/02/24 - 07:23

کشف آسیب‌پذیری در SourceCodester Client Database Management System

نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی در این نرم افزار شناسایی شده است

به گزارش کارگروه امنیت سایبربان ؛ نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-46188 و CVE-2025-46189 و شدت 9.8 در نسخه‌ی 1.0 این نرم‌افزار شناسایی شده است که مهاجم را قادر می‌سازد بدون احراز هویت، دستورات SQL مخرب را از راه دور اجرا کند.

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-46188 یک نقص امنیتی از نوع تزریق SQL است که در فایل superadmin_phpmyadmin.php در نسخه‌ی آسیب‌پذیر نرم‌افزار وجود دارد. در این فایل، خطوط ۲۴ تا ۲۹ فایل‌های .sql آپلودشده را بدون اعتبارسنجی محتوا ذخیره می‌کنند. سپس در خطوط ۱۱۳ تا ۱۳۲، این فایل‌ها مستقیماً با تابع multi_query() اجرا می‌شوند که امکان اجرای چندین دستور SQL در یک درخواست را فراهم می‌سازد. این ضعف موجب می‌شود مهاجم بتواند با آپلود فایل حاوی دستورات مخرب، تزریق SQL زنجیره‌ای انجام داده و کنترل کامل پایگاه داده را به‌دست آورد.

آسیب‌پذیری CVE-2025-46189 به دلیل فیلتر نکردن مناسب ورودی پارامتر order_id در درخواست POST در فایل user_order_customer_update.php رخ می‌دهد و باعث می‌شود مهاجم بتواند با ارسال داده‌ی دلخواه به پارامتر مذکور، دستورات SQL دلخواه خود را مستقیماً در پایگاه داده اجرا کرده و به اطلاعات حساس دسترسی پیدا کند یا حتی آن‌ها را تغییر دهد.

بردار هر دو آسیب‌پذیری به‌صورت
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ارزیابی شده است، که نشان می‌دهد این حملات از راه دور و بدون نیاز به تعامل کاربر و با سطح دسترسی صفر امکان‌پذیر است، پیچیدگی آن‌ها پایین بوده و تأثیر آن‌ها بر محرمانگی، تمامیت و دسترس‌پذیری بسیار زیاد و بحرانی است.

نسخه‌های تحت تأثیر

نسخه‌ی 1.0 این نرم‌افزار تحت تأثیر این دو آسیب‌پذیری قرار دارد.

توصیه‌های امنیتی

به‌روزرسانی نرم‌افزار: در صورت انتشار وصله‌ی امنیتی توسط توسعه‌دهنده‌ی SourceCodester، نرم‌افزار فوراً باید به‌روزرسانی شود.
محدودسازی دسترسی پایگاه داده: کاربر پایگاه داده باید حداقل سطح دسترسی را داشته باشد.

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-46188

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-46188

[3]https://www.cve.org/CVERecord?id=CVE-2025-46188

[4]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46188.md

[5]https://www.cvedetails.com/cve/CVE-2025-46189

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-46189

[7]https://www.cve.org/CVERecord?id=CVE-2025-46189

[8]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46189.md