about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
استفاده
1404/05/18 - 08:57- تروریسم سایبری

استفاده از مایکروسافت آژور برای جاسوسی از فلسطینیان

رژیم صهیونیستی از مایکروسافت آژور برای جاسوسی از فلسطینیان، آماده‌سازی حملات هوایی مرگبار و سازماندهی عملیات‌های نظامی در غزه و کرانه باختری استفاده می‌کند.

نگاهی
1404/05/23 - 14:10- هوش مصنوعي

نگاهی به فیلم سینمایی همنشین(Companion)

یادداشتی
1404/04/28 - 16:13- هوش مصنوعي

یادداشتی بر فیلم سینمایی وحشت‌زده(AfrAId)

انتشار شده در تاریخ

کشف آسیب‌پذیری در SourceCodester Client Database Management System

نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی در این نرم افزار شناسایی شده است

به گزارش کارگروه امنیت سایبربان ؛ نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-46188 و CVE-2025-46189 و شدت 9.8 در نسخه‌ی 1.0 این نرم‌افزار شناسایی شده است که مهاجم را قادر می‌سازد بدون احراز هویت، دستورات SQL مخرب را از راه دور اجرا کند.

 

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-46188 یک نقص امنیتی از نوع تزریق SQL است که در فایل superadmin_phpmyadmin.php در نسخه‌ی آسیب‌پذیر نرم‌افزار وجود دارد. در این فایل، خطوط ۲۴ تا ۲۹ فایل‌های .sql آپلودشده را بدون اعتبارسنجی محتوا ذخیره می‌کنند. سپس در خطوط ۱۱۳ تا ۱۳۲، این فایل‌ها مستقیماً با تابع multi_query() اجرا می‌شوند که امکان اجرای چندین دستور SQL در یک درخواست را فراهم می‌سازد. این ضعف موجب می‌شود مهاجم بتواند با آپلود فایل حاوی دستورات مخرب، تزریق SQL زنجیره‌ای انجام داده و کنترل کامل پایگاه داده را به‌دست آورد.

آسیب‌پذیری CVE-2025-46189 به دلیل فیلتر نکردن مناسب ورودی پارامتر order_id در درخواست POST در فایل user_order_customer_update.php رخ می‌دهد و باعث می‌شود مهاجم بتواند با ارسال داده‌ی دلخواه به پارامتر مذکور، دستورات SQL دلخواه خود را مستقیماً در پایگاه داده اجرا کرده و به اطلاعات حساس دسترسی پیدا کند یا حتی آن‌ها را تغییر دهد.

بردار هر دو آسیب‌پذیری به‌صورت
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ارزیابی شده است، که نشان می‌دهد این حملات از راه دور و بدون نیاز به تعامل کاربر و با سطح دسترسی صفر امکان‌پذیر است، پیچیدگی آن‌ها پایین بوده و تأثیر آن‌ها بر محرمانگی، تمامیت و دسترس‌پذیری بسیار زیاد و بحرانی است.

 

نسخه‌های تحت تأثیر

  • نسخه‌ی 1.0 این نرم‌افزار تحت تأثیر این دو آسیب‌پذیری قرار دارد.

 

توصیه‌های امنیتی

  • به‌روزرسانی نرم‌افزار: در صورت انتشار وصله‌ی امنیتی توسط توسعه‌دهنده‌ی SourceCodester، نرم‌افزار فوراً باید به‌روزرسانی شود.

  • محدودسازی دسترسی پایگاه داده: کاربر پایگاه داده باید حداقل سطح دسترسی را داشته باشد.

 

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-46188

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-46188

[3]https://www.cve.org/CVERecord?id=CVE-2025-46188

[4]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46188.md

[5]https://www.cvedetails.com/cve/CVE-2025-46189

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-46189

[7]https://www.cve.org/CVERecord?id=CVE-2025-46189

[8]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46189.md

منبع:

مرکز ماهر

موضوع:

تازه ترین ها
اخراج
1404/06/25 - 16:42- سایرفناوری ها

اخراج پیمانکاران هوش مصنوعی توسط گوگل

گوگل بیش از ۲۰۰ پیمانکار هوش مصنوعی را اخراج کرد.

ارزش
1404/06/25 - 15:21- سایرفناوری ها

ارزش بازار آلفابت تریلیون دلاری شد

شرکت آلفابت به ارزش بازار بالای ۳ تریلیون دلار آمریکا رسید.

تهدید
1404/06/25 - 14:24- سایرفناوری ها

تهدید بیت‌کوین توسط پیشرفت‌های کوانتومی

پیشرفت‌های کوانتومی می‌تواند بیت‌کوین را در دهه ۲۰۳۰ تهدید کند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.