🚨 New Vulnerability Alert: CVE-2025-64759

🟠 Risk Level: HIGH (Score: 8.1)

📝 توضیحات آسیب‌پذیری:
یک آسیب‌پذیری از نوع Stored XSS در داشبورد متن-باز Homarr با شناسه CVE-2025-64759 شناسایی شده است. این ضعف امنیتی در نسخه‌های قبل از 1.43.3 وجود دارد. مهاجم می‌تواند با بارگذاری یک فایل SVG دستکاری‌شده، کدهای JavaScript دلخواه را در مرورگر کاربر قربانی اجرا کند. این حمله به تعامل بسیار کمی از سوی کاربر نیاز دارد و صرفاً مشاهده صفحه حاوی فایل مخرب کافی است.

💥 تاثیرات:
پیامد اصلی این آسیب‌پذیری، افزایش سطح دسترسی (Privilege Escalation) است. اگر یک کاربر با دسترسی ادمین، صفحه‌ای را که فایل SVG مخرب در آن قرار دارد مشاهده کند، اسکریپت مهاجم با سطح دسترسی ادمین اجرا می‌شود. این سناریو به مهاجم اجازه می‌دهد حساب کاربری خود را به گروه مدیریتی credentials-admin اضافه کرده و در نتیجه، کنترل کامل داشبورد Homarr را به دست بگیرد.

🎭 سناریو حمله:
۱. مهاجم یک فایل SVG حاوی کدهای مخرب JavaScript را در سیستم آپلود می‌کند.

۲. مدیر سیستم (ادمین) وارد حساب کاربری خود شده و به صفحه‌ای مراجعه می‌کند که این فایل SVG در آن رندر (render) می‌شود.

۳. به محض بارگذاری فایل در مرورگر، کد JavaScript مخرب در بستر نشست کاربری ادمین اجرا می‌گردد.

۴. اسکریپت به صورت خودکار درخواستی را برای افزودن حساب کاربری مهاجم به گروه ادمین‌ها ارسال می‌کند.

۵. در نتیجه، مهاجم کنترل کامل داشبورد را به دست می‌آورد.

---
به تمامی کاربران اکیداً توصیه می‌شود که در اسرع وقت سرویس Homarr خود را به نسخه 1.43.3 یا بالاتر به‌روزرسانی کنند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65103

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: SQL Injection در OpenSTAManager
CVE-ID: CVE-2025-65103

شرح آسیب‌پذیری:
یک آسیب‌پذیری از نوع تزریق SQL احرازهویت‌شده (Authenticated SQL Injection) در نرم‌افزار OpenSTAManager در نسخه‌های قبل از 2.9.5 شناسایی شده است. این ضعف امنیتی در بخش API نرم‌افزار وجود دارد و به هر کاربر احرازهویت‌شده، صرف‌نظر از سطح دسترسی، اجازه می‌دهد تا کوئری‌های SQL دلخواه را بر روی پایگاه داده اجرا کند. مهاجم می‌تواند با دستکاری پارامتر display در یک درخواست API، این آسیب‌پذیری را اکسپلویت نماید. این مشکل در نسخه 2.9.5 برطرف شده است.

تأثیر:
موفقیت در اکسپلویت این آسیب‌پذیری می‌تواند منجر به نتایج فاجعه‌باری شود، از جمله:
- سرقت (Exfiltrate) تمامی اطلاعات حساس موجود در پایگاه داده، مانند اطلاعات کاربران، فاکتورها و داده‌های مالی.
- تغییر (Modify) یا دستکاری داده‌های کلیدی سیستم، که می‌تواند منجر به کلاهبرداری یا اختلال در عملیات شود.
- حذف (Delete) کامل اطلاعات و جداول پایگاه داده که باعث از کار افتادن کامل سرویس می‌گردد.
در نهایت، این آسیب‌پذیری می‌تواند منجر به کنترل کامل سیستم (Full System Compromise) شود.

سناریو:
یک مهاجم با یک حساب کاربری با کمترین سطح دسترسی (مثلاً یک کاربر عادی یا مشتری) وارد سیستم می‌شود. سپس، یک درخواست به API سیستم ارسال کرده و پارامتر display را با یک پی‌لود مخرب SQL Injection دستکاری می‌کند. از آنجایی که ورودی کاربر به درستی اعتبارسنجی نمی‌شود، سرور پی‌لود مخرب را مستقیماً در کوئری پایگاه داده اجرا می‌کند. در نتیجه، مهاجم قادر خواهد بود به داده‌های تمام کاربران دسترسی پیدا کرده، اطلاعات مالی را تغییر دهد یا حتی کل پایگاه داده را حذف نماید.

---

اقدامات پیشنهادی:
۱. به‌روزرسانی فوری: تمامی نمونه‌های نرم‌افزار OpenSTAManager باید فوراً به نسخه 2.9.5 یا بالاتر به‌روزرسانی شوند.

۲. بررسی لاگ‌ها: لاگ‌های مربوط به درخواست‌های API را برای شناسایی هرگونه فعالیت مشکوک، به‌ویژه درخواست‌های حاوی پارامتر دستکاری‌شده display، بررسی کنید.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13445

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری بحرانی | Tenda AC21 RCE

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-13445 در روترهای Tenda مدل AC21 با فریمور نسخه 16.03.08.16 شناسایی شده است.

این نقص از نوع Stack-based Buffer Overflow بوده و در فایل /goform/SetIpMacBind رخ می‌دهد. یک مهاجم از راه دور (Remote) می‌تواند با ارسال یک درخواست دستکاری‌شده و حاوی مقادیر بیش از حد طولانی به پارامتر list، باعث سرریز بافر در پشته حافظه شود.

اکسپلویت این آسیب‌پذیری به صورت عمومی منتشر شده و به طور فعال قابل استفاده است.

---

میزان تأثیر:
مهم‌ترین پیامد این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) با بالاترین سطح دسترسی (root) بر روی روتر است.

مهاجم با بهره‌برداری موفق، کنترل کامل دستگاه را در دست می‌گیرد و می‌تواند:
● تمامی ترافیک شبکه را شنود و دستکاری کند.
● به سایر دستگاه‌های موجود در شبکه داخلی حمله کند (Pivoting).
● روتر را به بخشی از یک بات‌نت (Botnet) برای حملات DDoS تبدیل کند.

همچنین، این حمله می‌تواند منجر به از کار افتادن کامل روتر (Denial of Service - DoS) و قطعی اینترنت شود.

---

سناریوی حمله:
یک مهاجم با استفاده از ابزارهایی مانند Shodan، روترهای Tenda AC21 آسیب‌پذیر را در اینترنت شناسایی می‌کند.

سپس، یک درخواست HTTP POST مخرب به آدرس /goform/SetIpMacBind روتر ارسال می‌کند.

در این درخواست، پارامتر list حاوی یک رشته بسیار طولانی و مخرب (Payload) است که برای سرریز بافر و اجرای کد شل (Shellcode) طراحی شده است.

پس از اجرای موفقیت‌آمیز شل‌کد، مهاجم یک دسترسی از راه دور (Reverse Shell) به روتر با سطح دسترسی root به دست می‌آورد. از این لحظه، مهاجم کنترل کامل روتر و به تبع آن، نظارت بر ترافیک شبکه داخلی را در اختیار دارد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13446

🟠 Risk Level: HIGH (Score: 8.8)

شرح آسیب‌پذیری: 📝
یک آسیب‌پذیری از نوع سرریز بافر مبتنی بر پشته (Stack-based Buffer Overflow) در فریمور نسخه 16.03.08.16 روتر Tenda AC21 شناسایی شده است. این ضعف امنیتی با شناسه CVE-2025-13446 ردیابی می‌شود.

آسیب‌پذیری در فایل /goform/SetSysTimeCfg وجود دارد که مسئولیت مدیریت و تنظیم زمان سیستم را بر عهده دارد. مهاجم از راه دور می‌تواند با ارسال مقادیر دستکاری‌شده و بیش از حد طولانی برای پارامترهای timeZone یا time، باعث سرریز شدن بافر در پشته حافظه دستگاه شود.

---

تأثیر: 💥
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به دو پیامد اصلی شود:

۱. اجرای کد از راه دور (Remote Code Execution - RCE): این خطرناک‌ترین سناریو است. مهاجم با سرریز کردن بافر، قادر خواهد بود کد دلخواه خود را بر روی روتر اجرا کند. این به معنای در اختیار گرفتن کنترل کامل دستگاه، شنود ترافیک شبکه، تغییر تنظیمات DNS، و استفاده از روتر برای حملات بیشتر (مانند حملات DDoS) است.

۲. ایجاد وقفه در سرویس (Denial of Service - DoS): در حالت کم‌خطرتر، حمله می‌تواند منجر به از کار افتادن (Crash) پردازش‌های روتر و در نتیجه، قطع دسترسی به اینترنت برای تمامی کاربران متصل به شبکه شود.

با توجه به امکان اجرای کد از راه دور و اینکه اکسپلویت آن به صورت عمومی منتشر شده، شدت این آسیب‌پذیری حیاتی (Critical) ارزیابی می‌شود.

---

سناریو حمله: 🎭
یک مهاجم غیرمجاز (Unauthenticated) از راه دور، اینترنت را برای یافتن روترهای Tenda AC21 با فریمور آسیب‌پذیر اسکن می‌کند.

پس از شناسایی یک هدف، مهاجم یک درخواست HTTP POST دستکاری‌شده به آدرس /goform/SetSysTimeCfg روتر ارسال می‌کند. این درخواست حاوی یک مقدار بسیار طولانی و مخرب در پارامتر timeZone است.

این مقدار مخرب باعث سرریز بافر پشته شده و کد مخرب مهاجم (Payload) بر روی دستگاه اجرا می‌شود. در این مرحله، روتر به طور کامل در اختیار مهاجم قرار گرفته و می‌تواند به یک بات‌نت (Botnet) اضافه شود یا برای جاسوسی از اطلاعات کاربران مورد استفاده قرار گیرد. عمومی بودن کد بهره‌برداری (Exploit) این فرآیند را برای مهاجمان با مهارت کمتر نیز آسان می‌سازد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-10571

🔴 Risk Level: CRITICAL (Score: 9.6)

گزارش تحلیل آسیب‌پذیری | CVE-2025-10571

---

🔎 شرح آسیب‌پذیری:

یک آسیب‌پذیری از نوع "دور زدن احراز هویت با استفاده از مسیر یا کانال جایگزین" در پلتفرم ABB Ability Edgenius شناسایی شده است. این ضعف امنیتی به یک مهاجم اجازه می‌دهد تا با یافتن و استفاده از یک مسیر ارتباطی ثانویه که به درستی ایمن‌سازی نشده، مکانیزم‌های اصلی ورود و احراز هویت سیستم را نادیده گرفته و به آن نفوذ کند.

نسخه‌های تحت تأثیر: 3.2.0.0 و 3.2.1.1.

⚠️ سطح تأثیر:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به دسترسی کامل و غیرمجاز به دستگاه Edgenius شود. از آنجایی که این پلتفرم در محیط‌های صنعتی (OT) استفاده می‌شود، مهاجم می‌تواند به داده‌های حساس عملیاتی دسترسی یابد، تنظیمات کنترلی را تغییر دهد و یا باعث اختلال شدید در فرآیندهای صنعتی متصل به آن شود. این امر ریسک بالایی برای تولید و ایمنی به همراه دارد.

🎭 سناریوی حمله:

یک مهاجم با دسترسی به شبکه دستگاه ABB Ability Edgenius، یک نقطه پایانی (Endpoint) یا یک سرویس کمتر شناخته‌شده را که فاقد بررسی‌های امنیتی لازم است، شناسایی می‌کند. سپس با ارسال یک درخواست دستکاری‌شده به این مسیر جایگزین، بدون نیاز به نام کاربری و رمز عبور، یک جلسه (Session) معتبر دریافت کرده و به عنوان یک کاربر مجاز به پنل مدیریتی سیستم دسترسی پیدا می‌کند. در این مرحله، مهاجم قادر به اجرای دستورات با سطح دسترسی بالا خواهد بود.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-36072

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری

CVE-2025-36072

---

تشریح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی از نوع اجرای کد دلخواه (RCE) در پلتفرم IBM webMethods Integration شناسایی شده است. این ضعف امنیتی به دلیل پردازش ناامن داده‌ها در فرآیند Deserialization رخ می‌دهد. به عبارت دیگر، برنامه هنگام بازگردانی آبجکت‌های سریالایز شده از یک جریان داده، ورودی را به درستی اعتبارسنجی نمی‌کند.

یک مهاجم که قبلاً به سیستم احرازهویت شده باشد، می‌تواند با ارسال یک آبجکت گراف دستکاری‌شده و مخرب، کدهای دلخواه خود را بر روی سرور هدف اجرا کند.

نسخه‌های تحت تأثیر عبارتند از:
• 10.11 تا 10.11_Core_Fix22
• 10.15 تا 10.15_Core_Fix22
• 11.1 تا 11.1_Core_Fix6

تأثیر:

مهم‌ترین پیامد این آسیب‌پذیری، کنترل کامل سیستم (Full System Compromise) است. مهاجمی که با موفقیت از این ضعف بهره‌برداری کند، می‌تواند دستورات دلخواه را با سطح دسترسی پروسه در حال اجرا بر روی سرور اجرا نماید.

این سطح از دسترسی می‌تواند منجر به سرقت اطلاعات حساس، نصب بدافزارهایی مانند باج‌افزار، اختلال کامل در سرویس‌ها و یا استفاده از سرور آسیب‌دیده به عنوان نقطه‌ای برای حمله به سایر بخش‌های شبکه داخلی شود.

سناریو:

یک مهاجم در ابتدا با استفاده از یک حساب کاربری معتبر (که ممکن است از طریق روش‌های دیگر مانند فیشینگ یا افشای اطلاعات به دست آمده باشد) به برنامه دسترسی پیدا می‌کند.

سپس، یک payload مخرب حاوی دستورات مورد نظر خود را در قالب یک آبجکت سریالایز شده ایجاد می‌کند. این payload به گونه‌ای طراحی شده که هنگام deserialization توسط برنامه، کد مخرب اجرا شود.

مهاجم این payload را به یکی از نقاط پایانی (endpoints) برنامه که داده‌های سریالایز شده را می‌پذیرد، ارسال می‌کند. برنامه بدون اعتبارسنجی محتوای آبجکت، آن را پردازش کرده و ناخواسته کدهای مخرب را اجرا می‌کند. این امر به مهاجم اجازه می‌دهد تا یک reverse shell دریافت کرده و کنترل کامل سرور را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-49752

🔴 Risk Level: CRITICAL (Score: 10.0)

تحلیل حرفه‌ای آسیب‌پذیری
CVE-2025-49752

---

🛡️ شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی از نوع افزایش سطح دسترسی (Elevation of Privilege) با شناسه CVE-2025-49752 در سرویس Azure Bastion شناسایی شده است. این نقص امنیتی در مکانیزم مدیریت نشست (session) که وظیفه احراز هویت و صدور مجوز برای اتصال کاربران به ماشین‌های مجازی را بر عهده دارد، وجود دارد.

یک مهاجم با سطح دسترسی پایین اما احراز هویت شده، می‌تواند با ارسال یک درخواست دستکاری‌شده‌ی خاص در حین فرآیند برقراری ارتباط، از این آسیب‌پذیری بهره‌برداری کند. این عمل باعث می‌شود سرویس Bastion به اشتباه، سطح دسترسی بالایی را به نشست مهاجم بر روی ماشین مجازی هدف تخصیص دهد و کنترل‌های امنیتی استاندارد را دور بزند.

💣 تأثیر:

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری به مهاجم اجازه می‌دهد تا سطح دسترسی خود را از یک کاربر عادی به یک حساب کاربری با اختیارات بالا، مانند NT AUTHORITY\SYSTEM در ویندوز یا root در لینوکس، بر روی ماشین مجازی هدف ارتقا دهد.

این امر کنترل کامل سیستم مورد نظر را در اختیار مهاجم قرار می‌دهد و به او امکان خواندن، تغییر یا حذف هرگونه داده، نصب نرم‌افزارهای مخرب (مانند باج‌افزار یا جاسوس‌افزار) و استفاده از سیستم آلوده به عنوان نقطه محوری برای حرکت جانبی (Lateral Movement) و حمله به سایر منابع در شبکه مجازی Azure را می‌دهد. پیامدهای بالقوه این حمله شامل نشت اطلاعاتی گسترده، اختلال در سرویس‌دهی و به خطر افتادن کامل زیرساخت می‌باشد.

🎭 سناریو:

یک مهاجم را در نظر بگیرید که پیش از این موفق به تصاحب یک حساب کاربری با دسترسی محدود (مثلاً یک پیمانکار با نقش "Reader") در محیط Azure یک سازمان شده است. هدف او یک سرور حساس و حیاتی است.

۱. مهاجم با استفاده از اعتبارنامه محدود اما قانونی خود، تلاش می‌کند از طریق سرویس Azure Bastion به سرور هدف متصل شود.

۲. در حین فرآیند برقراری اتصال (handshake)، مهاجم ترافیک را رهگیری کرده و یک پیلود (payload) مخرب را تزریق می‌کند که از نقص CVE-2025-49752 در منطق تولید توکن نشست بهره‌برداری می‌کند.

۳. سرویس Azure Bastion در اعتبارسنجی صحیح مجوزهای کاربر شکست می‌خورد و در نتیجه، یک نشست RDP/SSH با دسترسی مدیریتی برای مهاجم برقرار می‌کند.

۴. مهاجم اکنون با دسترسی کامل ادمین وارد سرور حیاتی شده و می‌تواند اقدام به غیرفعال‌سازی ابزارهای نظارت امنیتی، استخراج داده‌های حساس مشتریان و نصب بدافزار برای گسترش جای پای خود در شبکه کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-59245

🔴 Risk Level: CRITICAL (Score: 9.8)

🚨 گزارش تحلیل آسیب‌پذیری 🚨

شناسه آسیب‌پذیری: CVE-2025-59245

---

📝 توضیحات آسیب‌پذیری:

این آسیب‌پذیری که از نوع افزایش سطح دسترسی (Elevation of Privilege) می‌باشد، در سرویس شیرپوینت آنلاین مایکروسافت شناسایی شده است. یک مهاجم با دسترسی سطح پایین (مانند یک کاربر عادی) می‌تواند با بهره‌برداری از این ضعف امنیتی، دسترسی‌های خود را در سطح یک سایت شیرپوینت خاص ارتقا دهد.

ریشه این مشکل در اعتبارسنجی نادرست مجوزهای کاربر هنگام پردازش درخواست‌های API خاص نهفته است که به مهاجم اجازه می‌دهد تا محدودیت‌های امنیتی را دور بزند.

💥 تأثیرات:

مهاجم موفق می‌تواند به سطح دسترسی مدیر سایت (Site Administrator) دست یابد. این امر به او اجازه می‌دهد تا اقدامات مخرب زیر را انجام دهد:

- دسترسی، تغییر یا حذف اسناد و فایل‌های حساس.
- تغییر مجوزهای دسترسی سایر کاربران و قفل کردن دسترسی آن‌ها.
- سرقت اطلاعات محرمانه و ایجاد اختلال در فرآیندهای کاری سازمان.
- مشاهده و دستکاری محتوای تمامی بخش‌های سایت شیرپوینت مورد نظر.

🎭 سناریوی حمله:

یک مهاجم با یک حساب کاربری عادی (مثلاً یک کارمند یا پیمانکار با دسترسی محدود) به سایت شیرپوینت سازمان وارد می‌شود. سپس با ارسال یک درخواست وب دستکاری‌شده و خاص به یکی از APIهای آسیب‌پذیر شیرپوینت، سیستم را فریب می‌دهد.

به دلیل ضعف در اعتبارسنجی، سیستم به اشتباه تصور می‌کند که این درخواست از سوی یک کاربر با مجوزهای مدیریتی ارسال شده است. در نتیجه، سطح دسترسی مهاجم برای آن جلسه (session) به مدیر سایت ارتقا یافته و کنترل کاملی بر روی محتوا و تنظیمات سایت پیدا می‌کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-62207

🟠 Risk Level: HIGH (Score: 8.6)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری افزایش سطح دسترسی در Azure Monitor
CVE-2025-62207

این آسیب‌پذیری از نوع افزایش سطح دسترسی (Elevation of Privilege) در سرویس Azure Monitor مایکروسافت، به‌ویژه در کامپوننت Log Analytics Agent که بر روی ماشین‌های مجازی ویندوزی و لینوکسی نصب می‌شود، وجود دارد.

نقص اصلی در نحوه‌ی اعتبارسنجی نادرست مجوزها در یکی از سرویس‌های داخلی ایجنت نهفته است. این ضعف به یک کاربر محلی با دسترسی محدود اجازه می‌دهد تا با ارسال یک درخواست دستکاری‌شده، کدی دلخواه را با بالاترین سطح دسترسی سیستم (NT AUTHORITY\SYSTEM در ویندوز یا root در لینوکس) اجرا کند.

💥 تأثیر:

مهاجمی که با موفقیت از این آسیب‌پذیری بهره‌برداری کند، می‌تواند کنترل کامل سیستم آسیب‌دیده را به دست آورد.

پیامدهای اصلی این حمله عبارتند از:
- سرقت و استخراج اطلاعات حساس از سرور.
- استقرار باج‌افزار و رمزنگاری فایل‌های حیاتی.
- حرکت جانبی (Lateral Movement) در شبکه داخلی و آلوده‌سازی سیستم‌های دیگر.
- نصب درب‌های پشتی (Backdoors) برای دسترسی دائمی به سیستم.
- اختلال در سرویس‌دهی و از کار انداختن برنامه‌های کاربردی.

🎭 سناریوی حمله:

یک سناریوی حمله محتمل می‌تواند به شکل زیر باشد:

۱. دسترسی اولیه: مهاجم از طریق یک روش دیگر (مانند یک آسیب‌پذیری دیگر یا فیشینگ) یک دسترسی با سطح پایین بر روی سرور هدف به دست می‌آورد.

۲. شناسایی: مهاجم با بررسی سرویس‌های در حال اجرا، متوجه حضور نسخه آسیب‌پذیر Azure Monitor Agent بر روی سیستم می‌شود.

۳. بهره‌برداری: مهاجم یک اسکریپت مخرب آماده کرده و آن را از طریق یک درخواست دستکاری‌شده به سرویس محلی ایجنت ارسال می‌کند.

۴. افزایش دسترسی: سرویس ایجنت که با دسترسی SYSTEM در حال اجراست، درخواست مخرب را بدون اعتبارسنجی صحیح پردازش کرده و کد مهاجم را اجرا می‌کند. در این لحظه، مهاجم یک شل با بالاترین سطح دسترسی دریافت می‌کند.

۵. اقدامات پس از نفوذ: مهاجم با دسترسی کامل، شروع به جمع‌آوری اطلاعات، حرکت در شبکه و رسیدن به اهداف نهایی خود می‌کند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-62459

🟠 Risk Level: HIGH (Score: 8.3)

تحلیل خلاصه آسیب‌پذیری | CVE-2025-62459

---

📄 شرح آسیب‌پذیری:
این آسیب‌پذیری با شناسه CVE-2025-62459 به عنوان آسیب‌پذیری جعل (Spoofing) در پورتال Microsoft Defender شناسایی شده است. این نقص امنیتی به مهاجم اجازه می‌دهد تا یک لینک دستکاری‌شده ایجاد کند که در ظاهر متعلق به دامنه معتبر و رسمی پورتال امنیتی مایکروسافت (security.microsoft.com) است. اما در واقعیت، زمانی که کاربر روی این لینک کلیک می‌کند، به یک وب‌سایت مخرب که تحت کنترل کامل مهاجم قرار دارد، هدایت می‌شود. این تکنیک باعث می‌شود تشخیص لینک مخرب از لینک واقعی برای کاربر بسیار دشوار گردد.

⚠️ پیامدها:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به حملات فیشینگ بسیار قانع‌کننده شود. پیامدهای اصلی شامل موارد زیر است:
- سرقت اطلاعات اعتباری: مهاجم می‌تواند با ساخت یک صفحه لاگین جعلی، نام کاربری و رمز عبور مدیران امنیتی یا کارمندان سازمان را به سرقت ببرد.
- توزیع بدافزار: وب‌سایت مخرب می‌تواند به عنوان بستری برای توزیع بدافزار، باج‌افزار یا سایر نرم‌افزارهای جاسوسی عمل کند.
- از بین بردن اعتماد: این حملات می‌توانند اعتماد کاربران به هشدارهای امنیتی و ارتباطات رسمی از سوی مایکروسافت را تضعیف کنند.

🎣 سناریوی حمله:
۱. مهاجم یک ایمیل فیشینگ با ظاهری کاملاً رسمی طراحی می‌کند و آن را به عنوان یک "هشدار امنیتی فوری از طرف Microsoft Defender" برای کارمندان یک سازمان ارسال می‌کند.

۲. در متن ایمیل، یک لینک با عنوان "بررسی فعالیت مشکوک" قرار داده شده است. کاربر با نگه داشتن ماوس روی لینک، آدرسی را مشاهده می‌کند که به نظر کاملاً معتبر و متعلق به security.microsoft.com است.

۳. کاربر فریب خورده و روی لینک کلیک می‌کند. بلافاصله به یک صفحه وب کاملاً مشابه با صفحه ورود به پورتال Microsoft Defender هدایت می‌شود که در واقع توسط مهاجم کنترل می‌شود.

۴. قربانی بدون اطلاع از جعلی بودن صفحه، اطلاعات کاربری خود (نام کاربری و رمز عبور) را وارد می‌کند.

۵. به محض ورود اطلاعات، این اطلاعات برای مهاجم ارسال می‌شود و او اکنون به حساب کاربری و داده‌های حساس سازمان دسترسی پیدا می‌کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64655

🟠 Risk Level: HIGH (Score: 8.8)

شرح آسیب‌پذیری:

یک آسیب‌پذیری امنیتی با شناسه CVE-2025-64655 در مؤلفه Dynamics OmniChannel SDK Storage Containers شناسایی شده است. این نقص ناشی از عدم بررسی صحیح و کامل مجوزها (Improper Authorization) می‌باشد.

در این حالت، سیستم به درستی سطح دسترسی کاربر درخواست‌دهنده را برای انجام یک عملیات خاص اعتبارسنجی نمی‌کند. این ضعف به یک مهاجم غیرمجاز که به شبکه دسترسی دارد، اجازه می‌دهد تا با ارسال درخواست‌های دستکاری‌شده، محدودیت‌های امنیتی را دور زده و به منابعی فراتر از سطح دسترسی مجاز خود دست یابد.

تأثیر:

مهم‌ترین و خطرناک‌ترین تأثیر این آسیب‌پذیری، افزایش سطح دسترسی (Privilege Escalation) است. یک مهاجم موفق می‌تواند با بهره‌برداری از این نقص، دسترسی‌های خود را از یک کاربر عادی یا غیرمجاز به سطح یک کاربر با اختیارات بالا (مانند ادمین) ارتقا دهد.

پیامدهای این حمله می‌تواند شامل موارد زیر باشد:
- دسترسی، تغییر یا حذف داده‌های حساس مشتریان که در Storage Containerها ذخیره شده‌اند.
- اجرای دستورات غیرمجاز بر روی سیستم از راه دور.
- ایجاد اختلال در سرویس‌دهی و به خطر انداختن پایداری پلتفرم.

سناریو:

در یک سناریوی محتمل، یک مهاجم با سطح دسترسی پایین (یا حتی بدون احراز هویت) یک درخواست API دستکاری‌شده را به سمت نقطه پایانی (Endpoint) مربوط به Storage Containers در OmniChannel SDK ارسال می‌کند.

به دلیل وجود نقص در منطق بررسی مجوزها، سیستم قادر به تشخیص نیت مخرب و سطح دسترسی واقعی مهاجم نیست و درخواست را پردازش می‌کند. در نتیجه، مهاجم موفق می‌شود عملیاتی را انجام دهد که تنها برای یک کاربر با دسترسی مدیریتی مجاز است؛ برای مثال، خواندن اطلاعات محرمانه از یک کانتینر ذخیره‌سازی محافظت‌شده یا تغییر تنظیمات پیکربندی آن.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-62164

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-62164 در vLLM

توضیحات آسیب‌پذیری:
یک آسیب‌پذیری از نوع خرابی حافظه (Memory Corruption) با شناسه CVE-2025-62164 در vLLM، که یک موتور محبوب برای استنتاج و ارائه سرویس مدل‌های زبان بزرگ (LLM) است، شناسایی شده است. نسخه‌های تحت تأثیر از 0.10.2 تا قبل از نسخه 0.11.1 می‌باشند.

این آسیب‌پذیری در اندپوینت API مربوط به Completions وجود دارد. مشکل اصلی از آنجا ناشی می‌شود که این اندپوینت هنگام پردازش эмбедینگ‌های ورودی ارسالی توسط کاربر، تنسورهای سریالایز شده را با استفاده از تابع torch.load() بدون اعتبارسنجی کافی بارگذاری می‌کند. با توجه به تغییری که در نسخه PyTorch 2.8.0 معرفی شد، بررسی‌های یکپارچگی برای تنسورهای اسپارس (sparse) به طور پیش‌فرض غیرفعال است. در نتیجه، یک مهاجم می‌تواند با ارسال یک تنسور دستکاری‌شده و مخرب، بررسی‌های مرزی داخلی را دور زده و در حین فراخوانی تابع to_dense()، باعث نوشتن داده خارج از محدوده مجاز در حافظه (out-of-bounds memory write) شود.

تأثیر:
این آسیب‌پذیری می‌تواند دو پیامد اصلی داشته باشد:

۱. از کار افتادن سرویس (Denial-of-Service): ساده‌ترین نتیجه بهره‌برداری از این باگ، کرش کردن فوری فرآیند vLLM به دلیل خرابی حافظه است. این امر منجر به قطع دسترسی تمامی کاربران به سرویس مدل زبان می‌شود.

۲. اجرای کد از راه دور (Remote Code Execution): در سناریوهای پیچیده‌تر، یک مهاجم حرفه‌ای ممکن است بتواند با کنترل دقیق داده‌ها و محل نوشتن آن‌ها در حافظه، کنترل اجرای برنامه را به دست گرفته و کدهای دلخواه خود را بر روی سرور میزبان vLLM اجرا کند. این سناریو دارای بالاترین سطح بحرانی است.

سناریو:
یک مهاجم یک تنسور اسپارس (sparse tensor) مخرب را به گونه‌ای طراحی می‌کند که ساختار داخلی آن هنگام تبدیل شدن به یک تنسور متراکم (dense tensor)، باعث سرریز بافر شود.

سپس، مهاجم این تنسور دستکاری‌شده را به عنوان بخشی از یک درخواست قانونی به اندپوینت Completions در یک سرور vLLM که از نسخه آسیب‌پذیر استفاده می‌کند، ارسال می‌نماید.

سرور vLLM درخواست را دریافت کرده و بدون اعتبارسنجی کافی، تنسور مخرب را با استفاده از torch.load() بارگذاری می‌کند. به دلیل غیرفعال بودن بررسی‌های امنیتی در نسخه مربوطه PyTorch، ساختار نامعتبر تنسور شناسایی نمی‌شود.

در مرحله پردازش، هنگامی که تابع to_dense() فراخوانی می‌شود، تلاش برای نوشتن داده‌ها در حافظه فراتر از مرزهای تخصیص‌داده‌شده صورت می‌گیرد. این عمل باعث خرابی حافظه شده و بسته به مهارت مهاجم، یا به کرش کردن سرویس (DoS) و یا به اجرای کد از راه دور (RCE) منجر می‌شود.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64310

🔴 Risk Level: CRITICAL (Score: 9.8)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-64310 به پنل مدیریت تحت وب پروژکتورهای شرکت SEIKO EPSON با نام‌های EPSON WebConfig و Epson Web Control مربوط می‌شود. این ضعف امنیتی به دلیل عدم وجود هرگونه مکانیزم محدودکننده برای تلاش‌های ناموفق ورود به سیستم (Rate Limiting) به وجود آمده است.

در نتیجه، یک مهاجم می‌تواند بدون هیچ محدودیتی، تعداد نامحدودی از رمزهای عبور را برای حساب کاربری مدیر (Administrator) امتحان کند. سیستم هیچ‌گاه پس از تعداد مشخصی تلاش ناموفق، دسترسی مهاجم را مسدود یا کند نمی‌کند و این شرایط را برای اجرای حملات Brute Force (جستجوی فراگیر) ایده‌آل می‌سازد.


💥 تاثیرات و پیامدها:

موفقیت در بهره‌برداری از این آسیب‌پذیری، منجر به دستیابی کامل و غیرمجاز مهاجم به پنل مدیریت پروژکتور با سطح دسترسی مدیر کل (Administrator) می‌شود. پیامدهای اصلی این دسترسی عبارتند از:

- کنترل کامل دستگاه: تغییر تمامی تنظیمات پروژکتور، از جمله تنظیمات شبکه، نمایش، و خاموش/روشن کردن دستگاه از راه دور.
- ایجاد اختلال: مهاجم می‌تواند در جلسات مهم (مانند کنفرانس‌ها یا کلاس‌های درس) با خاموش کردن پروژکتور یا تغییر محتوای در حال نمایش، اختلال ایجاد کند.
- نقطه نفوذ به شبکه داخلی (Pivoting): در محیط‌های سازمانی، مهاجم می‌تواند از پروژکتور هک‌شده به عنوان یک نقطه برای شناسایی و حمله به سایر دستگاه‌های موجود در همان شبکه داخلی استفاده کند.
- سرقت اطلاعات: امکان مشاهده و سرقت اطلاعات حساس پیکربندی‌شده روی دستگاه، مانند اطلاعات مربوط به شبکه (Wi-Fi Credentials) وجود دارد.


🎭 سناریوی حمله:

یک مهاجم با شناسایی یک پروژکتور اپسون آسیب‌پذیر در شبکه (برای مثال از طریق اسکن پورت‌ها)، به صفحه ورود پنل وب آن دسترسی پیدا می‌کند.

مهاجم با علم به اینکه نام کاربری مدیر به احتمال زیاد admin یا موارد مشابه است، یک ابزار خودکار اجرای حمله Brute Force را با یک لیست بزرگ از رمزهای عبور رایج (Wordlist) تنظیم می‌کند.

از آنجایی که سیستم هیچ دفاعی در برابر تلاش‌های مکرر ندارد، ابزار مهاجم به صورت مداوم و با سرعت بالا رمزهای عبور مختلف را تست می‌کند تا در نهایت رمز صحیح را پیدا کند. پس از یافتن رمز، مهاجم با دسترسی کامل وارد پنل مدیریتی شده و کنترل دستگاه را به دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11456

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل آسیب‌پذیری حیاتی در پلاگین وردپرس
CVE-2025-11456

آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-11456 از نوع آپلود فایل دلخواه (Arbitrary File Upload) در پلاگین ELEX WordPress HelpDesk & Customer Ticketing System برای وردپرس شناسایی شده است.

این ضعف امنیتی در تمام نسخه‌های 3.3.1 و پایین‌تر وجود دارد. مشکل اصلی به دلیل عدم اعتبارسنجی صحیح نوع فایل در تابع eh_crm_new_ticket_post() است که به مهاجمان احرازهویت‌نشده اجازه می‌دهد تا هر نوع فایلی را بر روی سرور آپلود کنند.

تأثیر:
بالاترین سطح تأثیر این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) است. این به معنای آن است که مهاجم می‌تواند کنترل کامل وب‌سایت و به طور بالقوه کل سرور را به دست آورد.

سایر پیامدهای احتمالی عبارتند از:
- سرقت اطلاعات حساس کاربران و پایگاه داده
- نصب وب‌شل (Web Shell) و بدافزار
- تغییر چهره وب‌سایت (Defacement)
- استفاده از سرور برای حملات بیشتر به دیگر سیستم‌ها

سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر پلاگین ELEX HelpDesk استفاده می‌کند، شناسایی می‌کند.

مهاجم با استفاده از فرم ایجاد تیکت پشتیبانی جدید (که برای کاربران مهمان نیز در دسترس است)، به جای یک فایل ضمیمه مجاز مانند تصویر یا سند، یک فایل مخرب با پسوند .php (یک وب‌شل) را آپلود می‌کند.

به دلیل وجود آسیب‌پذیری، پلاگین نوع فایل را بررسی نکرده و فایل shell.php را با موفقیت روی سرور ذخیره می‌کند.

مهاجم سپس مسیر فایل آپلود شده را پیدا کرده و با فراخوانی مستقیم آن از طریق مرورگر، وب‌شل را فعال می‌کند. از این لحظه به بعد، مهاجم قادر است دستورات دلخواه خود را روی سرور اجرا کرده و کنترل کامل آن را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11985

🟠 Risk Level: HIGH (Score: 8.8)

⚠️ شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی با شناسه CVE-2025-11985 در افزونه Realty Portal برای وردپرس شناسایی شده است. این آسیب‌پذیری نسخه‌های 0.1 تا 0.4.1 را تحت تأثیر قرار می‌دهد.

نقص اصلی به دلیل عدم بررسی صحیح سطح دسترسی (Missing Capability Check) در تابع rp_save_property_settings است. این ضعف به یک مهاجم احرازهویت‌شده، حتی با کمترین سطح دسترسی مانند "مشترک" (Subscriber)، اجازه می‌دهد تا تنظیمات کلیدی و دلخواه وردپرس را تغییر دهد و در نهایت سطح دسترسی خود را افزایش دهد.

💥 تأثیر:

موفقیت‌آمیز بودن این حمله به مهاجم اجازه می‌دهد تا کنترل کامل وب‌سایت را به دست آورد. مهاجم می‌تواند با تغییر نقش کاربری پیش‌فرض هنگام ثبت‌نام به "مدیر کل" (Administrator)، یک حساب کاربری جدید با بالاترین سطح دسترسی برای خود ایجاد کند.

این امر منجر به عواقب شدیدی مانند سرقت اطلاعات حساس، تغییر محتوای سایت، بارگذاری کدهای مخرب (Backdoor) و آسیب جدی به اعتبار وب‌سایت می‌شود.

🎯 سناریو حمله:

۱. مهاجم با یک حساب کاربری با سطح دسترسی پایین (مثلاً Subscriber) وارد سایت می‌شود.

۲. مهاجم درخواست دستکاری‌شده‌ای را به تابع آسیب‌پذیر rp_save_property_settings ارسال می‌کند تا مقدار گزینه default_role را به administrator تغییر دهد.

۳. در صورت لزوم، مهاجم گزینه مربوط به فعال‌سازی ثبت‌نام عمومی کاربران (users_can_register) را نیز فعال می‌کند.

۴. مهاجم به صفحه ثبت‌نام سایت مراجعه کرده و یک حساب کاربری جدید ایجاد می‌کند.

۵. به دلیل تغییرات اعمال‌شده در مرحله ۲، حساب کاربری جدید به صورت خودکار با دسترسی کامل "مدیر کل" ساخته می‌شود و مهاجم کنترل سایت را به طور کامل در دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12138

🟠 Risk Level: HIGH (Score: 8.8)

📄 توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12138 در افزونه وردپرس URL Image Importer در تمام نسخه‌های 1.0.6 و قدیمی‌تر شناسایی شده است. این آسیب‌پذیری از نوع «آپلود فایل دلخواه» (Arbitrary File Upload) است.

مشکل اصلی در تابع uimptr_import_image_from_url() نهفته است. این تابع برای اعتبارسنجی نوع فایل، به هدر Content-Type که توسط کاربر قابل کنترل است، اعتماد می‌کند. به عبارت دیگر، افزونه فایل را قبل از بررسی دقیق و صحیح نوع آن روی سرور ذخیره می‌کند. این نقص به مهاجم اجازه می‌دهد تا با ارسال یک هدر جعلی، فایل‌های مخرب را به جای تصویر در سرور آپلود کند.

💥 تاثیرات:

مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، امکان «اجرای کد از راه دور» (Remote Code Execution) است.

مهاجمی که با موفقیت از این ضعف امنیتی سوءاستفاده کند، می‌تواند یک فایل با پسوند .php (وب‌شِل) روی سرور آپلود کرده و از طریق آن به اهداف زیر دست یابد:
- کنترل کامل بر روی وب‌سایت آسیب‌دیده.
- سرقت اطلاعات حساس کاربران، پایگاه داده و فایل‌های پیکربندی.
- تغییر چهره (Defacement) وب‌سایت.
- استفاده از سرور قربانی برای انجام حملات دیگر.

🎭 سناریوی حمله:

یک مهاجم با داشتن حساب کاربری در سطح دسترسی «نویسنده» (Author) یا بالاتر می‌تواند سناریوی زیر را پیاده‌سازی کند:

۱. مهاجم وارد پنل مدیریت وردپرس می‌شود.

۲. از قابلیت افزونه برای «وارد کردن تصویر از طریق URL» استفاده می‌کند.

۳. به جای آدرس یک تصویر واقعی، آدرس یک فایل PHP مخرب (مثلاً یک وب‌شِل) که روی سرور خودش قرار دارد را وارد می‌کند.

۴. مهاجم درخواست ارسالی به سرور را رهگیری کرده و هدر Content-Type آن را به یک نوع فایل تصویری مجاز مانند image/jpeg تغییر می‌دهد.

۵. تابع آسیب‌پذیر در افزونه، هدر جعلی را بررسی کرده و فریب می‌خورد. در نتیجه، فایل .php مخرب را روی سرور آپلود می‌کند.

۶. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده از طریق مرورگر، کد مخرب خود را اجرا کرده و کنترل سرور را در دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13322

🟠 Risk Level: HIGH (Score: 8.1)

📄 توضیحات آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع "حذف فایل دلخواه" (Arbitrary File Deletion) با شناسه CVE-2025-13322 در افزونه WP AUDIO GALLERY برای وردپرس شناسایی شده است. این آسیب‌پذیری تمامی نسخه‌های این افزونه تا نسخه 2.0 (و خود این نسخه) را تحت تأثیر قرار می‌دهد.

منشأ این ضعف امنیتی در تابع ای‌جکس (AJAX) به نام wpag_uploadaudio_callback() نهفته است. این تابع، مسیر فایل ارسالی توسط کاربر در پارامتر audio_upload را بدون اعتبارسنجی کافی، مستقیماً به تابع unlink() در PHP ارسال می‌کند. این نقص به یک مهاجم احرازهویت‌شده (حتی با سطح دسترسی پایین مانند Subscriber) اجازه می‌دهد تا با دستکاری مسیر فایل، هر فایل دلخواهی را بر روی سرور حذف نماید.

💥 تأثیرات:
تأثیر اصلی این آسیب‌پذیری، قابلیت حذف فایل‌های دلخواه بر روی سرور میزبان است. این موضوع به تنهایی می‌تواند منجر به از کار افتادن وب‌سایت (Denial of Service) از طریق حذف فایل‌های هسته وردپرس، قالب یا سایر افزونه‌ها شود.

با این حال، خطر اصلی زمانی رخ می‌دهد که مهاجم فایل‌های حیاتی مانند wp-config.php را حذف کند. حذف این فایل، وردپرس را به مرحله نصب مجدد بازمی‌گرداند. مهاجم می‌تواند با شروع فرآیند نصب و اتصال به پایگاه داده موجود، کنترل کامل وب‌سایت را به دست گرفته و در نهایت به اجرای کد از راه دور (Remote Code Execution) دست یابد.

🕵️‍♂️ سناریوی حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم با یک حساب کاربری با سطح دسترسی Subscriber وارد وب‌سایت وردپرسی می‌شود.

۲. مهاجم یک درخواست مخرب به نقطه پایانی AJAX که توسط تابع wpag_uploadaudio_callback() مدیریت می‌شود، ارسال می‌کند.

۳. در این درخواست، پارامتر audio_upload با مسیری دستکاری‌شده برای هدف قرار دادن یک فایل حیاتی تنظیم می‌شود. برای مثال: ../../../../wp-config.php

۴. سرور درخواست را پردازش کرده و به دلیل عدم اعتبارسنجی، فایل wp-config.php را با موفقیت حذف می‌کند.

۵. اکنون وب‌سایت بدون فایل پیکربندی است. مهاجم به صفحه اصلی سایت مراجعه کرده و با صفحه نصب وردپرس مواجه می‌شود. او فرآیند نصب را با استفاده از اطلاعات پایگاه داده موجود تکمیل کرده، یک حساب کاربری مدیر جدید برای خود ایجاد می‌کند و کنترل کامل سایت را به دست می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13156

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و بررسی آسیب‌پذیری | CVE-2025-13156

گزارش حرفه‌ای تحلیل آسیب‌پذیری در افزونه وردپرس Vitepos – Point of Sale (POS) for WooCommerce


Vulnerability Description:
آسیب‌پذیری با شناسه CVE-2025-13156 از نوع آپلود فایل دلخواه (Arbitrary File Upload) در افزونه Vitepos – Point of Sale (POS) for WooCommerce برای وردپرس شناسایی شده است. این ضعف امنیتی در تمام نسخه‌ها تا نسخه 3.3.0 (شامل خود این نسخه) وجود دارد.

ریشه مشکل در عدم اعتبارسنجی نوع فایل در تابع insert_media_attachment() است. به طور مشخص، تابع save_update_category_img() هنگام پردازش تصاویر دسته‌بندی، نوع فایل ارسالی توسط کاربر را بدون هیچ‌گونه بررسی و اعتبارسنجی می‌پذیرد. این نقص به مهاجمان احرازهویت‌شده، حتی با کمترین سطح دسترسی مانند مشترک (Subscriber)، اجازه می‌دهد تا فایل‌های دلخواه خود را بر روی سرور سایت آسیب‌دیده آپلود کنند.


Impact:
تأثیر اصلی این آسیب‌پذیری بسیار بالا و حیاتی است و به اجرای کد از راه دور (Remote Code Execution - RCE) منجر می‌شود.

مهاجم با بهره‌برداری از این ضعف امنیتی، می‌تواند یک فایل مخرب (مانند یک وب‌شل با پسوند .php) را بر روی سرور آپلود کرده و سپس آن را اجرا کند. این امر به مهاجم امکان کنترل کامل بر روی وب‌سایت و سرور را می‌دهد. پیامدهای احتمالی شامل موارد زیر است:

- سرقت اطلاعات حساس کاربران، سفارشات و داده‌های مالی
- تخریب کامل وب‌سایت و از دسترس خارج کردن آن
- استفاده از سرور برای حملات دیگر مانند حملات DDoS یا استخراج ارز دیجیتال
- نفوذ به شبکه‌های داخلی متصل به سرور


Scenario:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم یک حساب کاربری با سطح دسترسی پایین، مانند «مشترک»، در وب‌سایت وردپرسی که از نسخه آسیب‌پذیر افزونه Vitepos استفاده می‌کند، ثبت‌نام می‌کند.

۲. سپس، مهاجم از قابلیتی در افزونه که به آپلود تصویر برای دسته‌بندی‌ها مربوط می‌شود، استفاده می‌کند.

۳. به جای یک فایل تصویر استاندارد (مانند .jpg یا .png)، مهاجم یک فایل مخرب به نام backdoor.php که حاوی کدهای یک وب‌شل است، آپلود می‌کند.

۴. به دلیل نبود اعتبارسنجی نوع فایل، سیستم فایل .php را بدون مشکل می‌پذیرد و آن را در یکی از پوشه‌های قابل دسترس وب‌سایت (مانند پوشه uploads) ذخیره می‌کند.

۵. در نهایت، مهاجم با وارد کردن آدرس مستقیم فایل آپلود شده (برای مثال: https://example.com/wp-content/uploads/2024/05/backdoor.php) در مرورگر خود، کدهای مخرب را بر روی سرور اجرا می‌کند. این کار به او یک رابط کاربری برای اجرای دستورات دلخواه بر روی سرور داده و کنترل کامل آن را در اختیارش قرار می‌دهد.
---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-41115

🔴 Risk Level: CRITICAL (Score: 10.0)

تحلیل آسیب‌پذیری CVE-2025-41115 در Grafana

این گزارش یک تحلیل فنی از آسیب‌پذیری مهم در نسخه‌های سازمانی (Enterprise) و ابری (Cloud) پلتفرم Grafana ارائه می‌دهد.

---

🛡️ شرح آسیب‌پذیری:

یک آسیب‌پذیری در مکانیزم مدیریت هویت کاربران در نسخه‌های 12.x پلتفرم Grafana شناسایی شده است. این ضعف امنیتی به قابلیت SCIM (System for Cross-domain Identity Management) مرتبط است که برای خودکارسازی مدیریت چرخه حیات کاربران در سازمان‌ها استفاده می‌شود.

اگر یک کلاینت SCIM مخرب یا در معرض خطر، کاربری را با یک شناسه خارجی عددی (externalId) ایجاد کند، Grafana به اشتباه این شناسه خارجی را با شناسه‌های کاربری داخلی (که آن‌ها نیز عددی هستند) انطباق می‌دهد. این تداخل به مهاجم اجازه می‌دهد تا یک حساب کاربری داخلی موجود را بازنویسی (Override) کند.

توجه: این آسیب‌پذیری تنها در صورتی قابل بهره‌برداری است که هر دو شرط زیر در پیکربندی Grafana برقرار باشند:
۱. قابلیت enableSCIM فعال باشد (true).
۲. گزینه user_sync_enabled در بخش [auth.scim] فعال باشد (true).

💣 تأثیرات:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود:

- جعل هویت (Impersonation): مهاجم می‌تواند هویت هر کاربری در سیستم، از جمله مدیران کل (Administrators)، را جعل کرده و به تمام داشبوردها، داده‌ها و تنظیمات آن کاربر دسترسی پیدا کند.

- افزایش سطح دسترسی (Privilege Escalation): با هدف قرار دادن یک حساب کاربری با دسترسی بالا، مهاجم می‌تواند سطح دسترسی خود را در سیستم به بالاترین حد ممکن ارتقا دهد.

- دسترسی غیرمجاز و دستکاری داده‌ها: مهاجم به منابع حساس دسترسی پیدا کرده و قادر به مشاهده، تغییر یا حذف داده‌های حیاتی سازمان خواهد بود.

🎭 سناریوی حمله:

یک سناریوی حمله محتمل می‌تواند به شکل زیر باشد:

۱. مهاجم کنترل یک کلاینت SCIM متصل به Grafana را به دست می‌آورد یا به عنوان یک کلاینت مخرب عمل می‌کند.

۲. مهاجم شناسه داخلی (User ID) یک کاربر با دسترسی بالا، برای مثال مدیر سیستم با شناسه 1، را شناسایی می‌کند.

۳. مهاجم یک درخواست از طریق پروتکل SCIM برای ایجاد یک کاربر جدید به Grafana ارسال می‌کند.

۴. در این درخواست، مقدار فیلد externalId برای کاربر جدید را برابر با شناسه عددی کاربر هدف قرار می‌دهد (مثلاً: "externalId": "1").

۵. به دلیل وجود آسیب‌پذیری، Grafana این شناسه خارجی عددی را با شناسه داخلی موجود یکسان تلقی کرده و حساب کاربری مهاجم را به حساب مدیر سیستم با شناسه 1 متصل می‌کند.

۶. در نتیجه، مهاجم به طور کامل کنترل حساب مدیر را در دست گرفته و به تمام اختیارات و دسترسی‌های او دست می‌یابد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64767

🔴 Risk Level: CRITICAL (Score: 9.1)

گزارش تحلیل آسیب‌پذیری: CVE-2025-64767
ماژول: hpke-js

---

🐛 شرح آسیب‌پذیری:
ماژول hpke-js یک کتابخانه جاوااسکریپت برای پیاده‌سازی رمزنگاری کلید عمومی ترکیبی (HPKE) بر بستر Web Cryptography API است. در نسخه‌های پیش از 1.7.5، یک آسیب‌پذیری از نوع "وضعیت رقابتی" (Race Condition) در تابع عمومی SenderContext Seal() وجود دارد.

این ضعف امنیتی به مهاجم اجازه می‌دهد تا در شرایط خاص، سیستم را وادار به استفاده مجدد از یک nonce (عدد یکبار مصرف) یکسان برای رمزنگاری چندین پیام متفاوت کند. استفاده مجدد از nonce یکی از اشتباهات حیاتی در پیاده‌سازی الگوریتم‌های رمزنگاری متقارن مانند AEAD است.

⚠️ تاثیر:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به از بین رفتن کامل محرمانگی (Confidentiality) و یکپارچگی (Integrity) پیام‌های رمزنگاری شده شود.

در عمل، این بدان معناست که یک مهاجم قادر خواهد بود:
- پیام‌های رمزنگاری شده را رمزگشایی کرده و به محتوای آن‌ها دسترسی پیدا کند.
- محتوای پیام‌ها را بدون شناسایی شدن، تغییر دهد.

📋 سناریو:
یک مهاجم که قادر به مشاهده ترافیک رمزنگاری شده بین کاربر و سرور است، شرایطی را ایجاد می‌کند که در آن برنامه کلاینت مجبور شود دو یا چند پیام را به صورت تقریباً همزمان با استفاده از تابع Seal() ارسال کند. به دلیل وجود "وضعیت رقابتی"، ماژول hpke-js برای هر دو پیام از یک nonce یکسان استفاده می‌کند.

این استفاده مجدد، یک ضعف کشنده در رمزنگاری ایجاد کرده و به مهاجم اجازه می‌دهد تا با تحلیل ریاضیاتی دو پیام رمزنگاری شده، کلید رمز را شکسته و محتوای هر دو پیام را به طور کامل بخواند.

🛡️ توصیه امنیتی:
به تمام توسعه‌دهندگانی که از کتابخانه hpke-js استفاده می‌کنند، اکیداً توصیه می‌شود که نسخه مورد استفاده خود را فوراً به نسخه 1.7.5 یا بالاتر ارتقا دهند تا این آسیب‌پذیری حیاتی برطرف گردد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11087

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری | CVE-2025-11087

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-11087 در افزونه Zegen Core برای وردپرس شناسایی شده است. این ضعف امنیتی در نسخه‌های 2.0.1 و پایین‌تر وجود دارد.

این آسیب‌پذیری از نوع جعل درخواست میان‌وب‌گاهی (CSRF) است که منجر به آپلود فایل دلخواه (Arbitrary File Upload) می‌شود.

علت اصلی این مشکل، عدم وجود اعتبارسنجی توکن امنیتی (Nonce) برای جلوگیری از حملات CSRF و همچنین عدم بررسی نوع فایل آپلود شده در مسیر /custom-font-code/custom-fonts-uploads.php می‌باشد. این ترکیب به مهاجم اجازه می‌دهد تا بدون احراز هویت مستقیم، عملیات آپلود فایل را از طرف یک مدیر معتبر انجام دهد.

---

تاثیرات:
یک مهاجم می‌تواند با فریب مدیر سایت، فایل‌های دلخواه خود (مانند وب‌شل یا بدافزار) را بر روی سرور آپلود کند.

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) شود. این به معنای در اختیار گرفتن کنترل کامل وب‌سایت، سرقت اطلاعات حساس کاربران، تغییر چهره سایت (Defacement) و یا استفاده از سرور برای حملات گسترده‌تر است.

---

سناریوی حمله:
۱. آماده‌سازی: مهاجم یک صفحه وب مخرب یا یک لینک جعلی طراحی می‌کند. این صفحه حاوی یک فرم پنهان است که به فایل آسیب‌پذیر در سایت قربانی اشاره کرده و یک فایل مخرب (مثلاً یک وب‌شل با پسوند .php) را برای آپلود مشخص می‌کند.

۲. مهندسی اجتماعی: مهاجم از طریق ایمیل فیشینگ، پیام خصوصی یا روش‌های دیگر، مدیر سایت را که در پیشخوان وردپرس خود لاگین کرده است، ترغیب به کلیک بر روی لینک مخرب می‌کند.

۳. ارسال درخواست جعلی: به محض کلیک مدیر بر روی لینک، مرورگر او به صورت خودکار و بدون اطلاع وی، درخواست جعلی را به سایت ارسال می‌کند. از آنجایی که مدیر در سایت لاگین است، این درخواست با سطح دسترسی او ارسال می‌شود.

۴. بهره‌برداری: افزونه به دلیل نداشتن مکانیزم دفاعی در برابر CSRF، درخواست را معتبر تلقی می‌کند. سپس به دلیل عدم بررسی نوع فایل، فایل مخرب مهاجم با موفقیت بر روی سرور آپلود می‌شود.

۵. کنترل کامل: مهاجم با دسترسی مستقیم به فایل آپلود شده از طریق URL آن، می‌تواند دستورات دلخواه خود را روی سرور اجرا کرده و کنترل کامل وب‌سایت را به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal