about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
هشدار
1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

تأثیر
1404/11/23 - 17:54- سایرفناوری ها

تأثیر کمبود تراشه‌های حافظه بر عرضه رایانه‌های شخصی

گروه لنوو چین در مورد افزایش فشار بر عرضه رایانه‌های شخصی به دلیل کمبود فزاینده تراشه‌های حافظه هشدار داد.

آماده‌سازی
1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

انتشار شده در تاریخ

کشف آسیب‌پذیری در SourceCodester Client Database Management System

نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی در این نرم افزار شناسایی شده است

به گزارش کارگروه امنیت سایبربان ؛ نرم‌افزار SourceCodester Client Database Management System یکی از پروژه‌های متن‌باز است که به‌عنوان سیستم مدیریت مشتری طراحی شده است. اخیراً دو آسیب‌پذیری بحرانی با شناسه‌های CVE-2025-46188 و CVE-2025-46189 و شدت 9.8 در نسخه‌ی 1.0 این نرم‌افزار شناسایی شده است که مهاجم را قادر می‌سازد بدون احراز هویت، دستورات SQL مخرب را از راه دور اجرا کند.

 

جزئیات آسیب‌پذیری

آسیب‌پذیری CVE-2025-46188 یک نقص امنیتی از نوع تزریق SQL است که در فایل superadmin_phpmyadmin.php در نسخه‌ی آسیب‌پذیر نرم‌افزار وجود دارد. در این فایل، خطوط ۲۴ تا ۲۹ فایل‌های .sql آپلودشده را بدون اعتبارسنجی محتوا ذخیره می‌کنند. سپس در خطوط ۱۱۳ تا ۱۳۲، این فایل‌ها مستقیماً با تابع multi_query() اجرا می‌شوند که امکان اجرای چندین دستور SQL در یک درخواست را فراهم می‌سازد. این ضعف موجب می‌شود مهاجم بتواند با آپلود فایل حاوی دستورات مخرب، تزریق SQL زنجیره‌ای انجام داده و کنترل کامل پایگاه داده را به‌دست آورد.

آسیب‌پذیری CVE-2025-46189 به دلیل فیلتر نکردن مناسب ورودی پارامتر order_id در درخواست POST در فایل user_order_customer_update.php رخ می‌دهد و باعث می‌شود مهاجم بتواند با ارسال داده‌ی دلخواه به پارامتر مذکور، دستورات SQL دلخواه خود را مستقیماً در پایگاه داده اجرا کرده و به اطلاعات حساس دسترسی پیدا کند یا حتی آن‌ها را تغییر دهد.

بردار هر دو آسیب‌پذیری به‌صورت
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ارزیابی شده است، که نشان می‌دهد این حملات از راه دور و بدون نیاز به تعامل کاربر و با سطح دسترسی صفر امکان‌پذیر است، پیچیدگی آن‌ها پایین بوده و تأثیر آن‌ها بر محرمانگی، تمامیت و دسترس‌پذیری بسیار زیاد و بحرانی است.

 

نسخه‌های تحت تأثیر

  • نسخه‌ی 1.0 این نرم‌افزار تحت تأثیر این دو آسیب‌پذیری قرار دارد.

 

توصیه‌های امنیتی

  • به‌روزرسانی نرم‌افزار: در صورت انتشار وصله‌ی امنیتی توسط توسعه‌دهنده‌ی SourceCodester، نرم‌افزار فوراً باید به‌روزرسانی شود.

  • محدودسازی دسترسی پایگاه داده: کاربر پایگاه داده باید حداقل سطح دسترسی را داشته باشد.

 

منابع خبر:

[1]https://www.cvedetails.com/cve/CVE-2025-46188

[2]https://nvd.nist.gov/vuln/detail/CVE-2025-46188

[3]https://www.cve.org/CVERecord?id=CVE-2025-46188

[4]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46188.md

[5]https://www.cvedetails.com/cve/CVE-2025-46189

[6]https://nvd.nist.gov/vuln/detail/CVE-2025-46189

[7]https://www.cve.org/CVERecord?id=CVE-2025-46189

[8]https://github.com/x6vrn/mitre/blob/main/CVE-2025-46189.md

منبع:

مرکز ماهر

موضوع:

تازه ترین ها
آموزش
1404/12/01 - 14:52- سایرفناوری ها

آموزش چندزبانه از طریق اپلیکیشن یونسکو

یونسکو از طریق اپلیکیشن دیجیتال لِرن بیگ، آموزش چندزبانه را گسترش می‌دهد.

هشدار
1404/12/01 - 14:31- هوش مصنوعي

هشدار دبیرکل سازمان ملل در اجلاس هوش مصنوعی هند

دبیرکل سازمان ملل متحد در سخنرانی خود در هند هشدار داد که هوش مصنوعی باید پتانسیل انسانی را تقویت کند.

کاهش
1404/12/01 - 14:06- هوش مصنوعي

کاهش سهام سالانه کارکنان توسط مِتا

شرکت مِتا، توزیع سالانه سهام خود را برای اکثر کارکنانش حدود ۵ درصد کاهش داده است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.