about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
تمرکز
1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

«حملات
1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

نقش
1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

انتشار شده در تاریخ

کشف آسیب‌پذیری در سیستم انجمن‌ساز VBulletin

اخیراً دو آسیب‌پذیری بحرانی در سیستم انجمن‌ساز vBulletin کشف و گزارش شده است.

به گزارش کارگروه امنیت سایبربان ؛ اخیراً دو آسیب‌پذیری بحرانی در سیستم انجمن‌ساز vBulletin کشف و گزارش شده است. این دو نقص امنیتی با شناسه‌های CVE-2025-48827 و CVE-2025-48828 به مهاجمان غیرمجاز امکان می‌دهند بدون احراز هویت و با دور زدن مکانیزم‌های امنیتی قالب‌ها، کنترل کامل سرورهای آسیب‌پذیر را به‌دست آورند. اثرات ناشی از این آسیب‌پذیری‌ها شامل افشای اطلاعات، اجرای دستورات مخرب، تغییر در داده‌ها و از کار انداختن کامل سرویس است.

 

جزئیات آسیب‌پذیری

در آسیب‌پذیری با شناسه‌ی CVE-2025-48827، مهاجم می‌تواند با استفاده از ساختار خاصی از URL در API مانند api.php?method=protectedMethod، متدهای محافظت‌شده را بدون هیچ‌گونه احراز هویت فراخوانی کند. این نقص در صورتی قابل بهره‌برداری است که سرور از نسخه‌های PHP 8.1 یا بالاتر استفاده کند. در این نقص، مهاجم می‌تواند به دلیل عدم اعتبارسنجی مناسب در سطح کنترلرهای API، به داده‌ها و عملکردهایی که فقط برای کاربران تأییدشده در نظر گرفته شده‌اند، دسترسی پیدا کند. شدت این آسیب‌پذیری 10.0 است.
بردار:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
این بردار نشان‌دهنده‌ی یک آسیب‌پذیری بحرانی با شدت 10 است که بدون پیچیدگی خاصی از راه دور و بدون نیاز به نام کاربری یا رمز عبور یا دخالت کاربر قابل بهره‌برداری است. این آسیب‌پذیری می‌تواند به افشای کامل اطلاعات حساس و تغییر اطلاعات پایگاه داده منجر شود و بر چندین مؤلفه‌ی سیستم اثر بگذارد.

آسیب‌پذیری CVE-2025-48828 نیز از ضعف در سیستم پردازش قالب‌ها ناشی می‌شود که به مهاجم اجازه می‌دهد تا با نوشتن توابع PHP با ساختار غیرمتعارف مانند var_dump("test") در قالب‌ها، بررسی‌های امنیتی موجود را دور بزند. این امکان منجر به اجرای کد دلخواه PHP در محیط سرور شده و در نتیجه، مهاجم می‌تواند کنترل کامل سامانه را به‌دست آورد.
بردار:
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
این بردار نشان‌دهنده‌ی یک آسیب‌پذیری با شدت 9.0 است که با پیچیدگی بالا و تحت شرایط خاص از راه دور و بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است. گستره‌ی تأثیر آن نیز فراتر از یک بخش است و می‌تواند چندین بخش از سیستم را تحت تأثیر قرار دهد.

 

نسخه‌های تحت تأثیر

هر دو آسیب‌پذیری در نسخه‌های زیر از vBulletin مشاهده شده‌اند:

  • نسخه‌های vBulletin 5.0.0 تا 5.7.5

  • نسخه‌های vBulletin 6.0.0 تا 6.0.3

 

توصیه‌های امنیتی

  • به‌روزرسانی vBulletin به جدیدترین نسخه‌ای که این آسیب‌پذیری‌ها را برطرف کرده است.

  • در صورت عدم نیاز به استفاده از API به‌صورت عمومی، دسترسی به فایل api.php در سطح وب‌سرور یا فایروال محدود گردد.

  • دسترسی ایجاد یا ویرایش قالب به مدیران قابل‌اعتماد محدود گردد.

 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-48827

[2]https://www.cvedetails.com/cve/CVE-2025-48827

[3]https://www.cvedetails.com/cve/CVE-2025-48828

[4]https://nvd.nist.gov/vuln/detail/CVE-2025-48828

[5]https://kevintel.com/CVE-2025-48827

[6]https://kevintel.com/CVE-2025-48828

[7]https://www.cve.org/CVERecord?id=CVE-2025-48828

[8]https://www.cve.org/CVERecord?id=CVE-2025-48827

منبع:

مرکز ماهر

موضوع:

تازه ترین ها
سرقت
1404/09/08 - 16:47- جرم سایبری

سرقت اطلاعات از فدراسیون فوتبال فرانسه

فدراسیون فوتبال فرانسه روز جمعه اعلام کرد که مهاجمان سایبری با استفاده از یک حساب کاربری به‌خطر افتاده، به نرم‌افزار مدیریت اداری مورد استفاده باشگاه‌های فوتبال دسترسی پیدا کرده‌اند و این موضوع منجر به سرقت داده شده است.

سرقت
1404/09/08 - 16:26- جرم سایبری

سرقت 24 میلیون دلاری از ساکنان کلرادو در سال ۲۰۲۴

در سطح ملی آمریکا نیز کلاهبرداری‌های مرتبط با داده‌های شخصی روندی افزایشی داشته‌اند. میزان خسارت‌های گزارش‌شده در سال ۲۰۲۴ به ۱.۵ میلیارد دلار رسید که دو برابر رقم ۷۴۴ میلیون دلاری در سال ۲۰۲۳ بود.

تأثیرات
1404/09/08 - 15:44- آمریکا

تأثیرات قانون جدید کالیفرنیا درباره‌ی تنظیم مرورگرهای وب

تغییرات حریم خصوصی که بر اساس یک قانون جدید در کالیفرنیا لازم‌الاجرا شده، می‌تواند به این معنا باشد که مرورگرهای وب به‌زودی برای تمام آمریکایی‌ها ابزاری ساده فراهم کنند تا بتوانند با یک کلیک از تمام اشتراک‌گذاری‌ها و فروش داده‌ها هنگام وب‌گردی انصراف دهند

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.