about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
پیشنهاد
1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

حمله
1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی در این نرم افزار شناسایی شده است

به گزارش کارگروه امنیت سایبربان ؛ نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-46188 و CVE-2025-46189 و شدت 9.8 در نسخه‌ی 1.0 این نرم‌افزار شناسایی شده است که مهاجم را قادر می‌سازد بدون احراز هویت، دستورات SQL مخرب را از راه دور اجرا کند.

 

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-46188 یک نقص امنیتی از نوع تزریق SQL است که در فایل superadmin_phpmyadmin.php در نسخه‌ی آسیب‌پذیر نرم‌افزار وجود دارد. در این فایل، خطوط ۲۴ تا ۲۹ فایل‌های .sql آپلودشده را بدون اعتبارسنجی محتوا ذخیره می‌کنند. سپس در خطوط ۱۱۳ تا ۱۳۲، این فایل‌ها مستقیماً با تابع multi_query() اجرا می‌شوند که امکان اجرای چندین دستور SQL در یک درخواست را فراهم می‌سازد. این ضعف موجب می‌شود مهاجم بتواند با آپلود فایل حاوی دستورات مخرب، تزریق SQL زنجیره‌ای انجام داده و کنترل کامل پایگاه داده را به‌دست آورد.

آسیب‌پذیری CVE-2025-46189 به دلیل فیلتر نکردن مناسب ورودی پارامتر order_id در درخواست POST در فایل user_order_customer_update.php رخ می‌دهد و باعث می‌شود مهاجم بتواند با ارسال داده‌ی دلخواه به پارامتر مذکور، دستورات SQL دلخواه خود را مستقیماً در پایگاه داده اجرا کرده و به اطلاعات حساس دسترسی پیدا کند یا حتی آن‌ها را تغییر دهد.

بردار هر دو آسیب‌پذیری به‌صورت
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ارزیابی شده است، که نشان می‌دهد این حملات از راه دور و بدون نیاز به تعامل کاربر و با سطح دسترسی صفر امکان‌پذیر است، پیچیدگی آن‌ها پایین بوده و تأثیر آن‌ها بر محرمانگی، تمامیت و دسترس‌پذیری بسیار زیاد و بحرانی است.

 

نسخه‌های تحت تأثیر

  • نسخه‌ی 1.0 این نرم‌افزار تحت تأثیر این دو آسیب‌پذیری قرار دارد.

 

توصیه‌های امنیتی

  • به‌روزرسانی نرم‌افزار: در صورت انتشار وصله‌ی امنیتی توسط توسعه‌دهنده‌ی SourceCodester، نرم‌افزار فوراً باید به‌روزرسانی شود.

  • محدودسازی دسترسی پایگاه داده: کاربر پایگاه داده باید حداقل سطح دسترسی را داشته باشد.

 

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-46188

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-46188

[3]https://www.cve.org/CVERecord?id=CVE-2025-46188

[4]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46188.md

[5]https://www.cvedetails.com/cve/CVE-2025-46189

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-46189

[7]https://www.cve.org/CVERecord?id=CVE-2025-46189

[8]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46189.md

منبع:

موضوع:

تازه ترین ها
مشارکت
1404/04/10 - 18:31- آسیا

مشارکت پاکستان و عربستان در زمینه هوش مصنوعی و نیمه‌هادی‌ها

پاکستان و عربستان سعودی روابط خود را در بخش‌های هوش مصنوعی و نیمه‌هادی‌ها گسترش دادند.

تسهیل
1404/04/10 - 17:51- آسیا

تسهیل ورود امارات به پیمان اقتصاد دیجیتال

کمیته مشترک توافق‌نامه مشارکت اقتصاد دیجیتال ورود امارات به پیمان اقتصاد دیجیتال را تسهیل کرد.

دستورالعمل
1404/04/10 - 17:30- آسیا

دستورالعمل جدید چین درمورد امنیت انتقال داده‌های فرامرزی

چین دستورالعمل به‌روز شده‌ای در مورد درخواست ارزیابی امنیتی انتقال داده‌های فرامرزی منتشر کرد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.