🚨 New Vulnerability Alert: CVE-2025-12744

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری CVE-2025-12744
افزایش سطح دسترسی از طریق تزریق دستور در ABRT

📝 توضیحات آسیب‌پذیری:
یک نقص امنیتی حیاتی در دیمن `ABRT` در نحوه پردازش اطلاعات `mount` که از سوی کاربر ارائه می‌شود، شناسایی شده است. این سرویس تا ۱۲ کاراکتر از ورودی غیرقابل اعتماد را کپی کرده و بدون اعتبارسنجی مناسب، آن را مستقیماً در یک دستور شل (docker inspect %s) قرار می‌دهد.

این ضعف در اعتبارسنجی ورودی به مهاجم اجازه می‌دهد تا متاکاراکترهای شل (Shell Metacharacters) را به دستور اصلی تزریق کرده و دستورات مخرب خود را اجرا نماید.

💥 تاثیر:
این آسیب‌پذیری از نوع تزریق دستور (Command Injection) است و پیامد اصلی آن افزایش سطح دسترسی (Privilege Escalation) می‌باشد.

یک کاربر محلی با دسترسی محدود می‌تواند با ساخت یک ورودی خاص، دستورات دلخواه خود را با سطح دسترسی کامل `root` بر روی سیستم اجرا کند و در نهایت کنترل کامل سیستم هدف را به دست آورد.

⚙️ سناریو:
یک مهاجم با یک حساب کاربری عادی در سیستم هدف، یک ورودی مخرب (مثلاً نام یک کانتینر یا شناسه مرتبط) را ایجاد می‌کند که حاوی دستورات شل باشد.

برای مثال، مهاجم یک ورودی مانند a;id>/tmp/p را ایجاد می‌کند.

هنگامی که سرویس `ABRT` تلاش می‌کند تا این ورودی را با دستور docker inspect a;id>/tmp/p پردازش کند، به دلیل وجود متاکاراکتر ;، سیستم‌عامل ابتدا دستور docker inspect a و سپس دستور id>/tmp/p را اجرا می‌کند. از آنجایی که `ABRT` با دسترسی `root` اجرا می‌شود، دستور `id` نیز با همین سطح دسترسی اجرا شده و خروجی آن (که uid=0(root) است) در فایل /tmp/p ذخیره می‌شود.

مهاجم می‌تواند با جایگزین کردن دستور `id` با دستورات پیچیده‌تر، مانند ایجاد یک reverse shell، به طور کامل به سیستم نفوذ کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13342

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل آسیب‌پذیری: CVE-2025-13342
تغییر غیرمجاز تنظیمات وردپرس در افزونه Frontend Admin

---

Vulnerability Description:
آسیب‌پذیری با شناسه CVE-2025-13342 در افزونه Frontend Admin by DynamiApps برای وردپرس شناسایی شده است. تمام نسخه‌های این افزونه تا نسخه 3.28.20 (شامل این نسخه) تحت تأثیر این ضعف امنیتی قرار دارند.

این مشکل به دلیل عدم وجود بررسی‌های کافی برای سطح دسترسی کاربر (Insufficient Capability Checks) و اعتبارسنجی ضعیف ورودی‌ها در تابع ActionOptions::run() به وجود آمده است. این نقص به یک مهاجم احراز هویت نشده اجازه می‌دهد تا با ارسال داده‌های دستکاری‌شده از طریق فرم‌های عمومی که با این افزونه ساخته شده‌اند، گزینه‌های حیاتی وردپرس را به‌صورت غیرمجاز تغییر دهد.

Impact:
تأثیر اصلی این آسیب‌پذیری، دادن کنترل بر تنظیمات کلیدی هسته وردپرس به مهاجم است. این امر می‌تواند منجر به سناریوهای خطرناکی از جمله تصاحب کامل وب‌سایت (Full Site Takeover) شود.

مهاجم می‌تواند گزینه‌های زیر را تغییر دهد:
▪️ users_can_register: فعال‌سازی قابلیت ثبت‌نام عمومی کاربران در سایت.
▪️ default_role: تعیین نقش کاربری پیش‌فرض برای کاربران جدید (مثلاً تغییر آن به Administrator).
▪️ admin_email: تغییر ایمیل مدیر اصلی سایت که می‌تواند به قفل شدن مدیر واقعی و فرآیند بازنشانی رمز عبور برای مهاجم منجر شود.

ترکیب این موارد به مهاجم اجازه می‌دهد تا یک حساب کاربری با سطح دسترسی مدیر برای خود ایجاد کرده و کنترل کامل سایت را در دست بگیرد.

Scenario:
یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم یک وب‌سایت وردپرسی را پیدا می‌کند که از نسخه آسیب‌پذیر افزونه Frontend Admin استفاده کرده و یک فرم عمومی (مانند فرم ویرایش پروفایل یا فرم تماس) در دسترس عموم قرار دارد.

۲. مهاجم یک درخواست وب دستکاری‌شده (Crafted Request) به سمت سرور ارسال می‌کند. در این درخواست، پارامترهایی با نام‌های مشابه تنظیمات وردپرس مانند users_can_register با مقدار 1 و default_role با مقدار administrator گنجانده شده است.

۳. به دلیل ضعف امنیتی در افزونه، این درخواست بدون بررسی سطح دسترسی پردازش شده و مقادیر ارسال‌شده توسط مهاجم مستقیماً در جدول تنظیمات وردپرس (wp_options) بازنویسی می‌شود.

۴. اکنون، قابلیت ثبت‌نام در سایت فعال شده و نقش پیش‌فرض برای هر کاربر جدید، "مدیر کل" است. مهاجم به سادگی به صفحه ثبت‌نام سایت مراجعه کرده، یک حساب کاربری جدید ایجاد می‌کند و بلافاصله به پیشخوان وردپرس با بالاترین سطح دسترسی وارد می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13390

🔴 Risk Level: CRITICAL (Score: 10.0)


🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-55182

🔴 Risk Level: CRITICAL (Score: 10.0)

📝 شرح آسیب‌پذیری:
یک آسیب‌پذیری بسیار خطرناک از نوع اجرای کد از راه دور پیش از احراز هویت (Pre-Authentication RCE) با شناسه CVE-2025-55182 در کامپوننت‌های سرور React شناسایی شده است.

این ضعف امنیتی ناشی از deserialization ناامن داده‌های ورودی (payloads) از درخواست‌های HTTP به نقاط پایانی (endpoints) مربوط به Server Functionها می‌باشد. مهاجم می‌تواند بدون نیاز به هیچ‌گونه اعتبارسنجی، از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر:
19.0.0, 19.1.0, 19.1.1, 19.2.0

پکیج‌های آسیب‌پذیر:
react-server-dom-parcel
react-server-dom-turbopack
react-server-dom-webpack

💥 تأثیر:
یک مهاجم از راه دور و بدون نیاز به احراز هویت، قادر خواهد بود تا کد دلخواه خود را بر روی سرور آسیب‌پذیر اجرا کند. این امر می‌تواند منجر به کنترل کامل سرور (Full System Compromise)، سرقت اطلاعات حساس، اختلال در سرویس‌دهی و یا استفاده از سرور به عنوان نقطه‌ای برای حملات بیشتر به زیرساخت داخلی سازمان شود.

🎭 سناریو حمله:
مهاجم یک درخواست HTTP حاوی یک payload مخرب و با ساختار ویژه را به یکی از نقاط پایانی (endpoints) که از Server Functionها در یک وب اپلیکیشن آسیب‌پذیر استفاده می‌کند، ارسال می‌نماید. سرور، به دلیل پردازش و deserialization ناامن این محتوا، کد تعبیه‌شده توسط مهاجم را با سطح دسترسی پروسه وب اپلیکیشن اجرا می‌کند و کنترل اجرای برنامه را به دست مهاجم می‌سپارد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57198

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری CVE-2025-57198

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع تزریق دستور (Command Injection) با شناسه CVE-2025-57198 در دستگاه‌های شرکت AVTECH SECURITY مدل DGM1104 با فریم‌ور FullImg-1015-1004-1006-1003 شناسایی شده است.

این ضعف امنیتی در اندپوینت Machine.cgi قرار دارد و به یک مهاجم که قبلاً به سیستم دسترسی پیدا کرده (Authenticated)، اجازه می‌دهد تا با ارسال ورودی‌های دستکاری‌شده، دستورات دلخواه خود را بر روی سیستم‌عامل دستگاه اجرا کند.

تأثیر:
مهاجم می‌تواند با بهره‌برداری موفق از این آسیب‌پذیری، کنترل کامل دستگاه را به دست آورد. این امر منجر به پیامدهای جدی زیر می‌شود:

- دسترسی و سرقت فیدهای ویدیویی زنده و ضبط‌شده.
- از کار انداختن کامل سیستم نظارتی.
- استفاده از دستگاه به عنوان نقطه‌ای برای نفوذ به سایر سیستم‌های موجود در شبکه داخلی (Lateral Movement).
- نصب بدافزار یا درب پشتی (Backdoor) برای حفظ دسترسی پایدار.

سناریوی حمله:
۱. مهاجم با استفاده از اطلاعات کاربری معتبر (مانند اطلاعات پیش‌فرض، ضعیف یا سرقت‌شده) به پنل وب دستگاه وارد می‌شود.

۲. سپس یک درخواست دستکاری‌شده به آدرس /cgi-bin/Machine.cgi ارسال می‌کند.

۳. در این درخواست، دستورات مخرب سیستم‌عامل (مانند ایجاد یک reverse shell برای برقراری ارتباط با سرور مهاجم) را در یکی از پارامترهای ورودی تزریق می‌کند.

۴. سرور بدون اعتبارسنجی کافی، ورودی مخرب را به همراه دستورات قانونی اجرا کرده و در نتیجه، مهاجم به اجرای کد از راه دور (RCE) دست می‌یابد و کنترل کامل دستگاه را در اختیار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57199

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش آسیب‌پذیری CVE-2025-57199

---

🔎 شرح آسیب‌پذیری:

یک آسیب‌پذیری حیاتی با شناسه CVE-2025-57199 در دستگاه‌های AVTECH SECURITY Corporation DGM1104 با فریمور نسخه FullImg-1015-1004-1006-1003 شناسایی شده است.

این آسیب‌پذیری از نوع تزریق دستور پس از احراز هویت (Authenticated Command Injection) در فایل باینری NetFailDetectD می‌باشد. این بدان معناست که یک مهاجم معتبر (که قبلاً وارد سیستم شده) می‌تواند با ارسال ورودی‌های دستکاری‌شده، دستورات دلخواه خود را در سطح سیستم‌عامل دستگاه اجرا نماید.

⚠️ تأثیر:

تأثیر این آسیب‌پذیری بسیار بالا است. مهاجمی که با موفقیت از این ضعف امنیتی بهره‌برداری کند، می‌تواند کنترل کامل دستگاه را در دست بگیرد.

این سطح از دسترسی به مهاجم اجازه می‌دهد تا اطلاعات حساس را به سرقت ببرد، بدافزار یا درهای پشتی (Backdoors) نصب کند، عملکرد دستگاه را مختل سازد و یا از آن به عنوان نقطه‌ای برای حمله به سایر دستگاه‌های موجود در همان شبکه استفاده نماید.

🎬 سناریوی حمله:

یک مهاجم ابتدا از طریق روش‌هایی مانند فیشینگ، حملات Brute-force یا استفاده از اعتبارنامه‌های پیش‌فرض، به پنل مدیریتی دستگاه دسترسی پیدا می‌کند.

پس از ورود به سیستم، مهاجم یک درخواست دستکاری‌شده به بخشی که از باینری NetFailDetectD استفاده می‌کند، ارسال می‌نماید. این درخواست حاوی کاراکترهای ویژه‌ای مانند ; یا | است که به او اجازه می‌دهد دستور دلخواه خود را به ورودی اصلی اضافه کند. برای مثال، مهاجم می‌تواند دستوری برای ایجاد یک اتصال معکوس (Reverse Shell) به سرور خود اجرا کرده و بدین ترتیب کنترل کامل دستگاه را از راه دور به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-57201

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری: CVE-2025-57201
---

توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-57201 در دستگاه‌های AVTECH SECURITY Corporation DGM1104 با فریمور نسخه FullImg-1015-1004-1006-1003 شناسایی شده است. این ضعف امنیتی از نوع تزریق دستور (Command Injection) بوده و در عملکرد سرور SMB دستگاه وجود دارد.

یک مهاجم که به سیستم دسترسی احرازهویت‌شده (Authenticated) داشته باشد، می‌تواند با ارسال یک ورودی دستکاری‌شده و مخرب، دستورات دلخواه خود را بر روی سیستم‌عامل دستگاه اجرا کند.

تأثیر:

تأثیر اصلی این آسیب‌پذیری بسیار بالا ارزیابی می‌شود. بهره‌برداری موفق از آن به مهاجم اجازه می‌دهد تا دستورات دلخواه را با سطح دسترسی پروسه در حال اجرا (احتمالاً root) بر روی دستگاه اجرا کند.

این امر می‌تواند منجر به پیامدهای زیر گردد:
- کنترل کامل دستگاه: مهاجم می‌تواند کنترل کامل دستگاه را به دست بگیرد.
- سرقت اطلاعات: دسترسی و استخراج داده‌های حساس ذخیره‌شده بر روی دستگاه یا در حال عبور از شبکه.
- نصب بدافزار: نصب انواع بدافزار مانند باج‌افزار، تروجان یا ابزارهای جاسوسی.
- حملات بعدی: استفاده از دستگاه آسیب‌دیده به عنوان نقطه‌ای برای حمله به سایر سیستم‌ها در شبکه داخلی (Pivoting).

سناریو:

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. دستیابی به اطلاعات ورود: مهاجم در ابتدا باید به اطلاعات ورود معتبر به پنل مدیریتی دستگاه دست پیدا کند. این کار می‌تواند از طریق روش‌هایی مانند حملات Brute-force روی رمزهای عبور ضعیف، فیشینگ یا استفاده از اطلاعات ورود پیش‌فرض (در صورت عدم تغییر) انجام شود.

۲. ورود به سیستم: مهاجم با استفاده از اطلاعات به دست آمده، به سیستم وارد می‌شود.

۳. ارسال Payload مخرب: مهاجم به بخشی از پنل مدیریتی که با تنظیمات سرور SMB در ارتباط است (مانند نام اشتراک‌گذاری، مسیر فایل و...) مراجعه می‌کند. در یکی از فیلدهای ورودی، یک payload دستکاری‌شده که حاوی دستورات سیستم‌عامل است (برای مثال، دستوری برای ایجاد یک Reverse Shell) را وارد می‌کند.

۴. اجرای دستور: سیستم به دلیل عدم اعتبارسنجی صحیح ورودی، رشته مخرب را به عنوان یک دستور معتبر سیستم‌عامل تفسیر و اجرا می‌کند.

۵. کنترل سیستم: در این لحظه، دستور مهاجم اجرا شده و او به یک شل دسترسی پیدا می‌کند که به معنای در اختیار گرفتن کنترل کامل دستگاه است.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32641

🔴 Risk Level: CRITICAL (Score: 9.8)

گزارش تحلیل آسیب‌پذیری: اجرای کد از راه دور در Masa CMS
CVE-2024-32641

🔎 شرح آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع اجرای کد از راه دور (RCE) در سیستم مدیریت محتوای Masa CMS شناسایی شده است. این ضعف امنیتی نسخه‌های قبل از 7.2.8، 7.3.13 و 7.4.6 را تحت تأثیر قرار می‌دهد.

نقطه ضعف اصلی در تابع addParam وجود دارد. این تابع، ورودی کاربر را از طریق پارامتری به نام criteria دریافت کرده و بدون اعتبارسنجی کافی، آن را به تابع دیگری به نام setDynamicContent ارسال می‌کند. تابع دوم این ورودی را ارزیابی و اجرا می‌کند. در نتیجه، یک مهاجم بدون نیاز به احراز هویت می‌تواند با استفاده از تگ مخصوص m، کدهای مخرب خود را تزریق و بر روی سرور اجرا نماید.

⚡️ تأثیر:
با توجه به این که آسیب‌پذیری از نوع RCE است و نیازی به احراز هویت ندارد، سطح خطر آن بسیار بالا (Critical) ارزیابی می‌شود. بهره‌برداری موفق از این حفره امنیتی به مهاجم اجازه می‌دهد تا:

- کنترل کامل سرور میزبان را به دست گیرد.
- به اطلاعات حساس مانند پایگاه داده‌ها، فایل‌های کاربران و اطلاعات محرمانه دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.
- بدافزارهایی مانند باج‌افزار یا ماینر ارز دیجیتال را بر روی سرور نصب کند.
- از سرور آلوده به عنوان نقطه‌ای برای حمله به سایر سیستم‌های داخل شبکه استفاده نماید.

📜 سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر Masa CMS استفاده می‌کند، شناسایی می‌کند.

مهاجم یک درخواست HTTP دستکاری‌شده را به سمت سرور ارسال می‌کند. در این درخواست، پارامتر criteria حاوی یک پی‌لود (Payload) مخرب است که با تگ m ساخته شده. برای مثال، این پی‌لود می‌تواند دستوری برای دانلود و اجرای یک اسکریپت Reverse Shell از سرور تحت کنترل مهاجم باشد.

سرور Masa CMS درخواست را پردازش کرده و تابع setDynamicContent پی‌لود مخرب را به عنوان کد معتبر اجرا می‌کند. در نتیجه، اسکریپت Reverse Shell روی سرور اجرا شده و یک ارتباط مستقیم با دستگاه مهاجم برقرار می‌کند.

در این لحظه، مهاجم به یک خط فرمان (Shell) روی سرور دسترسی پیدا کرده و می‌تواند هر دستوری را با سطح دسترسی پروسه وب‌سرور اجرا کند و کنترل سیستم را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32642

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2024-32642
یک آسیب‌پذیری حیاتی از نوع Host Header Poisoning در سیستم مدیریت محتوای Masa CMS شناسایی شده است که می‌تواند منجر به تصاحب حساب کاربری شود.

📄 توضیحات آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2024-32642 در سیستم مدیریت محتوای متن‌باز Masa CMS وجود دارد. این ضعف امنیتی در نسخه‌های پیش از 7.2.8، 7.3.13 و 7.4.6 یافت می‌شود. مشکل اصلی این است که برنامه هنگام تولید لینک‌های بازنشانی رمز عبور، به هدر Host ارسالی در درخواست HTTP به صورت ناامن اعتماد می‌کند. این امر به مهاجم اجازه می‌دهد تا یک هدر Host جعلی را به سرور ارسال کرده و برنامه را فریب دهد تا لینکی با دامنه تحت کنترل مهاجم ایجاد کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری تصاحب کامل حساب کاربری (Account Takeover) است. اگر حساب مورد هدف دارای دسترسی مدیریتی باشد، مهاجم می‌تواند کنترل کامل سیستم را به دست آورد. پیامدهای احتمالی عبارتند از:
- سرقت اطلاعات حساس
- دستکاری یا حذف محتوای وب‌سایت
- اجرای حملات بیشتر از طریق دسترسی به دست آمده

⚙️ سناریوی حمله:
۱. مهاجم فرآیند "فراموشی رمز عبور" را برای حساب یک کاربر (قربانی) آغاز می‌کند.

۲. همزمان، یک هدر Host مخرب در درخواست HTTP به سمت سرور ارسال می‌کند که به دامنه تحت کنترل خودش اشاره دارد.

۳. سیستم Masa CMS، لینک بازنشانی رمز عبور را با استفاده از دامنه جعلی مهاجم تولید کرده و آن را از طریق ایمیل برای قربانی ارسال می‌کند.

۴. قربانی ایمیل را دریافت کرده و با تصور اینکه لینک معتبر است، روی آن کلیک می‌کند.

۵. با کلیک بر روی لینک، توکن (token) محرمانه بازنشانی رمز عبور به سرور مهاجم ارسال می‌شود.

۶. مهاجم توکن را ضبط کرده و از آن برای تنظیم یک رمز عبور جدید برای حساب قربانی و تصاحب کامل آن استفاده می‌کند.

---
🛡️ راهکار و اصلاحیه:
توسعه‌دهندگان Masa CMS اصلاحیه‌های امنیتی را منتشر کرده‌اند. به تمام کاربران اکیداً توصیه می‌شود که سیستم خود را در اسرع وقت به یکی از نسخه‌های امن زیر به‌روزرسانی کنند:
- 7.2.8
- 7.3.13
- 7.4.6
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-33208

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل خلاصه آسیب‌پذیری: CVE-2025-33208

این گزارش به تحلیل آسیب‌پذیری شناسایی‌شده در پلتفرم NVIDIA TAO می‌پردازد که می‌تواند منجر به اجرای کد از راه دور و به خطر افتادن سیستم شود.

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-33208 در فریم‌ورک NVIDIA TAO وجود دارد. این ضعف امنیتی از نوع Uncontrolled Search Path است. به این معنی که برنامه هنگام فراخوانی یک منبع (مانند یک فایل کتابخانه‌ای یا DLL)، مسیر کامل و امن آن را مشخص نمی‌کند و در عوض، آن را در مسیرهای مختلفی جستجو می‌کند. یک مهاجم می‌تواند با قرار دادن یک فایل مخرب با نام مشابه در یکی از این مسیرهای جستجو، برنامه را فریب دهد تا به جای فایل اصلی، فایل مخرب را بارگذاری و اجرا کند.

تاثیرات:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به طیف وسیعی از پیامدهای امنیتی شدید شود:

* افزایش سطح دسترسی (EoP): اگر برنامه TAO با دسترسی‌های بالا (مانند ادمین) اجرا شود، کد مخرب مهاجم نیز با همان سطح دسترسی اجرا خواهد شد.

* دستکاری داده‌ها: مهاجم می‌تواند داده‌های حساس، مدل‌های هوش مصنوعی یا فایل‌های پروژه‌ای که برنامه در حال پردازش آن‌هاست را تغییر داده یا تخریب کند.

* منع سرویس (DoS): اجرای کد مخرب می‌تواند منجر به از کار افتادن برنامه یا حتی کل سیستم عامل شود.

* افشای اطلاعات: کد مهاجم می‌تواند به اطلاعات حساسی که برنامه به آن‌ها دسترسی دارد (مانند کلیدهای API، داده‌های آموزشی یا اطلاعات کاربری) دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.

سناریوی حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

1. مهاجم یک فایل مخرب (به عنوان مثال، یک فایل .dll با نامی عمومی مانند version.dll) را ایجاد می‌کند.

2. مهاجم از طریق مهندسی اجتماعی، کاربر را متقاعد می‌کند تا این فایل مخرب را در یک پوشه خاص، برای مثال پوشه دانلودها (Downloads)، ذخیره کند. در کنار این فایل، ممکن است یک فایل پروژه مربوط به TAO نیز قرار داده شود.

3. سپس کاربر فریب داده می‌شود تا برنامه NVIDIA TAO را از داخل همان پوشه (پوشه Downloads) اجرا کند یا فایل پروژه موجود در آن را باز کند.

4. هنگامی که برنامه TAO شروع به کار می‌کند، برای بارگذاری فایل version.dll، ابتدا پوشه فعلی را جستجو می‌کند. در این لحظه، نسخه مخرب فایل را پیدا کرده و آن را به جای نسخه اصلی و سیستمی، بارگذاری و اجرا می‌کند.

5. در نتیجه، کد مخرب مهاجم با سطح دسترسی برنامه TAO بر روی سیستم قربانی اجرا می‌شود و می‌تواند عملیات مورد نظر خود را (مانند نصب باج‌افزار یا سرقت اطلاعات) انجام دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66222

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی: اجرای کد از راه دور در DeepChat
CVE-2025-66222

---

Vulnerability Description:
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در کامپوننت پردازش دیاگرام‌های Mermaid در دستیار هوشمند DeepChat شناسایی شده است. نسخه‌های 0.5.0 و قدیمی‌تر تحت تأثیر این ضعف امنیتی قرار دارند.

این آسیب‌پذیری به یک مهاجم اجازه می‌دهد تا با تزریق کدهای جاوا اسکریپت مخرب در محتوای یک دیاگرام، آن کد را در بستر برنامه و بر روی سیستم سایر کاربرانی که آن دیاگرام را مشاهده می‌کنند، اجرا نماید.

Impact:
خطر اصلی این آسیب‌پذیری در قابلیت ارتقاء آن به سطح اجرای کد از راه دور (Remote Code Execution - RCE) نهفته است. مهاجم می‌تواند با بهره‌برداری از یک پل ارتباطی ناامن Electron IPC که در برنامه وجود دارد، یک سرور مخرب MCP (Model Context Protocol) را بر روی سیستم قربانی ثبت و اجرا کند.

موفقیت در این حمله به معنای در اختیار گرفتن کامل سیستم قربانی، سرقت اطلاعات حساس، نصب بدافزار و اجرای دستورات دلخواه توسط مهاجم خواهد بود. این آسیب‌پذیری دارای سطح بحرانی (Critical) است.

Scenario:
یک سناریوی حمله محتمل می‌تواند به شرح زیر باشد:

۱. مهاجم یک دیاگرام Mermaid حاوی پی‌لود مخرب XSS را طراحی کرده و آن را در یک چت یا مستند در پلتفرم DeepChat به اشتراک می‌گذارد.

۲. قربانی (کاربر دیگر) صفحه حاوی این دیاگرام را باز می‌کند. در این لحظه، کد جاوا اسکریپت مخرب در بستر (Context) اپلیکیشن DeepChat بر روی سیستم قربانی اجرا می‌شود.

۳. کد XSS اجرا شده، از طریق پل ارتباطی ناامن Electron IPC با پروسه‌های اصلی برنامه ارتباط برقرار کرده و دستورات مخرب را به آن‌ها ارسال می‌کند.

۴. در نهایت، این دستورات منجر به ثبت و راه‌اندازی یک سرور MCP جعلی بر روی دستگاه قربانی شده و به مهاجم دسترسی کامل برای اجرای کد از راه دور را می‌دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-45538

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی در محصولات Synology
CVE-2024-45538

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست بین سایتی (Cross-Site Request Forgery - CSRF) در فریمورک WebAPI محصولات سینولوژی شناسایی شده است. این ضعف امنیتی به مهاجم از راه دور اجازه می‌دهد تا با فریب دادن یک کاربر احرازهویت شده، دستورات دلخواه خود را بر روی دستگاه اجرا کند.

محصولات و نسخه‌های تحت تأثیر:
• Synology DiskStation Manager (DSM) قبل از 7.2.1-69057-2 و 7.2.2-72806
• Synology Unified Controller (DSMUC) قبل از 3.1.4-23079

---

تأثیر:
مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، اجرای کد از راه دور (RCE) با دسترسی‌های سطح بالا بر روی دستگاه است. مهاجم می‌تواند:

• کنترل کامل دستگاه را به دست گیرد.
• به تمامی اطلاعات ذخیره شده دسترسی پیدا کرده و آن‌ها را سرقت کند.
• بدافزار یا باج‌افزار بر روی سیستم نصب کند.
• از دستگاه به عنوان یک پایگاه برای حملات بیشتر به شبکه داخلی استفاده نماید.

---

سناریو:
یک سناریوی حمله محتمل به شرح زیر است:

۱. طراحی تله: مهاجم یک لینک، ایمیل یا صفحه وب مخرب طراحی می‌کند که حاوی یک درخواست جعلی به پنل مدیریت DSM است.

۲. قربانی: کاربر (مدیر سیستم) که در مرورگر خود به پنل وب دستگاه Synology خود لاگین کرده است، فریب خورده و بر روی لینک مخرب کلیک می‌کند یا از صفحه وب آلوده بازدید می‌نماید.

۳. سوءاستفاده: مرورگر قربانی، بدون اطلاع وی، درخواست جعلی را به همراه کوکی‌های احرازهویت به دستگاه Synology ارسال می‌کند. به دلیل وجود آسیب‌پذیری CSRF، دستگاه این درخواست را به عنوان یک فرمان معتبر از طرف مدیر سیستم می‌پذیرد.

۴. نتیجه: کد مخرب تعبیه شده توسط مهاجم بر روی دستگاه اجرا شده و کنترل کامل آن در اختیار مهاجم قرار می‌گیرد.

توصیه اکید می‌شود که کاربران محصولات مذکور در اسرع وقت دستگاه‌های خود را به آخرین نسخه‌های ارائه شده توسط Synology به‌روزرسانی کنند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66287

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-66287

🛡️ شرح آسیب‌پذیری:
یک نقص امنیتی در موتور رندر وب WebKitGTK شناسایی شده است. این آسیب‌پذیری که با کد CVE-2025-66287 ردیابی می‌شود، به دلیل مدیریت نادرست حافظه (Improper Memory Handling) هنگام پردازش محتوای وب مخرب به وجود می‌آید.

موتور WebKitGTK در بسیاری از برنامه‌های لینوکسی برای نمایش محتوای وب استفاده می‌شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا با ساخت یک صفحه وب خاص، باعث از کار افتادن (Crash) ناگهانی برنامه‌ای شود که از این موتور استفاده می‌کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری، اجرای یک حمله محروم‌سازی از سرویس (Denial of Service - DoS) است. هنگامی که کاربر از طریق یک برنامه آسیب‌پذیر (مانند یک مرورگر وب یا کلاینت ایمیل) محتوای مخرب را باز می‌کند، برنامه به طور کامل بسته شده و از کار می‌افتد.

این اتفاق منجر به اختلال در کار کاربر و از دست رفتن احتمالی داده‌های ذخیره‌نشده می‌شود. اگرچه در توضیحات رسمی فقط به کرش اشاره شده، اما نقص‌های مربوط به مدیریت حافظه در موارد پیچیده‌تر می‌توانند پتانسیل اجرای کد از راه دور (RCE) را نیز فراهم کنند، هرچند این مورد برای این CVE تأیید نشده است.

🎭 سناریو:
یک مهاجم یک صفحه وب با کدهای HTML یا JavaScript دستکاری‌شده و مخرب ایجاد می‌کند.

سپس، مهاجم با استفاده از روش‌های مهندسی اجتماعی (مانند ارسال یک ایمیل فیشینگ یا یک پیام در شبکه‌های اجتماعی)، قربانی را ترغیب به کلیک کردن روی لینک آن صفحه وب می‌کند.

به محض اینکه برنامه آسیب‌پذیر روی سیستم قربانی (که از WebKitGTK استفاده می‌کند) تلاش می‌کند این محتوای مخرب را پردازش و نمایش دهد، باگ مدیریت حافظه فعال شده و باعث کرش کردن و بسته شدن ناگهانی برنامه می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-14015

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش خلاصه آسیب‌پذیری
CVE-2025-14015

---

شرح آسیب‌پذیری:
یک ضعف امنیتی از نوع سرریز بافر (Buffer Overflow) در روترهای H3C Magic B0 تا نسخه فریم‌ور 100R002 شناسایی شده است. این آسیب‌پذیری در تابع EditWlanMacList واقع در فایل /goform/aspForm وجود دارد.

مهاجم از راه دور می‌تواند با ارسال یک درخواست دستکاری‌شده به این فایل و ارسال مقادیر مخرب در پارامتر param، باعث سرریز بافر شده و کنترل دستگاه را در دست بگیرد.

تأثیر:
موفقیت‌آمیز بودن این حمله به مهاجم اجازه اجرای کد از راه دور (Remote Code Execution) بر روی روتر را می‌دهد. این به معنای در اختیار گرفتن کامل دستگاه است.

پیامدهای اصلی عبارتند از:
- شنود و سرقت تمام ترافیک اینترنت (شامل نام‌های کاربری و رمزهای عبور).
- هدایت کاربران به صفحات فیشینگ و بدافزار.
- استفاده از روتر برای حمله به سایر دستگاه‌های موجود در شبکه داخلی.
- افزودن دستگاه به یک شبکه بات‌نت (Botnet).

سناریو حمله:
۱. مهاجم یک روتر آسیب‌پذیر H3C را در شبکه شناسایی می‌کند.

۲. یک درخواست وب مخرب به پنل مدیریتی دستگاه، به طور خاص به مسیر /goform/aspForm ارسال می‌کند.

۳. در این درخواست، مقداری بسیار طولانی و دستکاری‌شده برای پارامتر param قرار داده می‌شود تا تابع EditWlanMacList را هدف قرار دهد.

۴. این عمل باعث سرریز بافر شده و کد مخرب مهاجم بر روی سیستم‌عامل روتر اجرا می‌شود.

مهم: کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده و شرکت سازنده نیز پاسخی به گزارش امنیتی نداده است. این موضوع ریسک بهره‌برداری را به شدت افزایش می‌دهد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12995

🟠 Risk Level: HIGH (Score: 8.1)

تحلیل آسیب‌پذیری CVE-2025-12995

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-12995 در شبکه CareLink محصول شرکت Medtronic شناسایی شده است. این ضعف امنیتی به یک مهاجم راه دور و احراز هویت نشده اجازه می‌دهد تا یک حمله Brute Force را بر روی یک نقطه پایانی API (API Endpoint) اجرا کند. هدف از این حمله، حدس زدن و کشف یک رمز عبور معتبر در سیستم است که تحت شرایط خاصی امکان‌پذیر می‌شود.

نسخه‌های تحت تأثیر، تمام ورژن‌های شبکه CareLink قبل از تاریخ ۴ دسامبر ۲۰۲۵ می‌باشند.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به موارد زیر شود:

دسترسی غیرمجاز: کشف رمز عبور کاربران و به دست گرفتن کنترل حساب‌های آن‌ها.

افشای اطلاعات حساس: دسترسی به داده‌های پزشکی و اطلاعات هویتی بیماران (PHI) که در شبکه CareLink ذخیره شده‌اند.

تشدید حملات: امکان سوءاستفاده از حساب‌های به سرقت رفته برای اجرای حملات بیشتر یا دستکاری اطلاعات در سیستم.

سناریوی حمله:
یک مهاجم، نقطه پایانی API آسیب‌پذیر را در یکی از سرورهای شبکه Medtronic CareLink که در اینترنت قابل دسترس است، شناسایی می‌کند.

سپس با استفاده از ابزارهای خودکار، لیستی از رمزهای عبور متداول (Password List) را به صورت مکرر و با سرعت بالا به این API ارسال می‌کند تا بتواند رمز عبور یک حساب کاربری معتبر را حدس بزند.

از آنجایی که مکانیزم‌های حفاظتی مانند محدودیت نرخ درخواست (Rate Limiting) یا قفل شدن حساب کاربری به درستی پیاده‌سازی نشده‌اند، حمله Brute Force بدون مانع ادامه می‌یابد.

در نهایت، مهاجم موفق به کشف یک رمز عبور صحیح شده و با استفاده از آن، به سیستم وارد می‌شود و به اطلاعات حساس بیماران دسترسی پیدا می‌کند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65958

🟠 Risk Level: HIGH (Score: 8.5)

تحلیل آسیب‌پذیری CVE-2025-65958 در Open WebUI

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست سمت سرور (Server-Side Request Forgery - SSRF) با شناسه CVE-2025-65958 در پلتفرم هوش مصنوعی Open WebUI شناسایی شده است. این پلتفرم که برای کار به صورت کاملاً آفلاین طراحی شده، در نسخه‌های قبل از 0.6.37 به هر کاربر احرازهویت‌شده (حتی با کمترین سطح دسترسی) اجازه می‌دهد تا سرور را وادار به ارسال درخواست‌های HTTP به آدرس‌های دلخواه کند. این ضعف امنیتی به مهاجم اجازه می‌دهد تا از سرور به عنوان یک پروکسی برای تعامل با شبکه‌های داخلی یا سرویس‌های خارجی استفاده کند.

تأثیر:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود. مهاجم قادر خواهد بود:
- به متادیتاهای سرویس‌های ابری (مانند AWS, GCP, Azure) دسترسی پیدا کرده و اطلاعات حساس مانند کلیدهای دسترسی را سرقت کند.
- شبکه‌های داخلی سازمان را پویش (Scan) کرده و سرویس‌ها و پورت‌های باز را شناسایی کند.
- به سرویس‌های داخلی که پشت فایروال قرار دارند و از اینترنت قابل دسترس نیستند، دسترسی پیدا کند.
- اطلاعات حساس را از سرویس‌های داخلی که سرور به آنها دسترسی دارد، استخراج و سرقت نماید.

سناریو:
یک مهاجم با یک حساب کاربری عادی در یک نمونه آسیب‌پذیر از Open WebUI لاگین می‌کند. سپس با سوءاستفاده از قابلیت آسیب‌پذیر، درخواستی را به سرور ارسال می‌کند که هدف آن آدرس متادیتای سرور ابری میزبان است (برای مثال: https://169.254.169.254/latest/meta-data/). سرور Open WebUI این درخواست را به عنوان یک درخواست معتبر از طرف خود اجرا کرده و پاسخ را که می‌تواند حاوی کلیدهای دسترسی موقت باشد، به مهاجم برمی‌گرداند. مهاجم با در اختیار داشتن این کلیدها، می‌تواند به منابع ابری سازمان دسترسی غیرمجاز پیدا کند.

توصیه اکید می‌شود مدیران سیستم فوراً نسبت به به‌روزرسانی Open WebUI به نسخه 0.6.37 یا بالاتر اقدام نمایند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13543

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2025-13543
خلاصه گزارش فنی برای مدیران وب‌سایت‌های وردپرسی

---

🐞 شرح آسیب‌پذیری:

آسیب‌پذیری از نوع آپلود فایل دلخواه (Arbitrary File Upload) در افزونه PostGallery برای وردپرس شناسایی شده است. این ضعف امنیتی در تمامی نسخه‌های این افزونه تا نسخه 1.12.5 (و خود این نسخه) وجود دارد.

علت اصلی این آسیب‌پذیری، عدم اعتبارسنجی صحیح نوع فایل‌های آپلود شده در توابع کلاس PostGalleryUploader است. این نقص به مهاجمان احرازهویت‌شده با حداقل سطح دسترسی مشترک (Subscriber) اجازه می‌دهد تا فایل‌های دلخواه و مخرب خود (مانند وب‌شل‌ها) را بر روی سرور سایت قربانی بارگذاری کنند.

💥 تأثیر:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) شود. این بدترین سناریوی ممکن برای یک وب‌سایت است و به مهاجم اجازه می‌دهد:

🔻 کنترل کامل وب‌سایت و سرور را در دست بگیرد.
🔻 به پایگاه داده و اطلاعات حساس کاربران دسترسی پیدا کند.
🔻 وب‌سایت را تخریب کرده یا از آن برای انتشار بدافزار استفاده کند.
🔻 یک در پشتی (Backdoor) برای دسترسی‌های آتی بر روی سرور نصب کند.

🎭 سناریو:

یک مهاجم سناریوی زیر را دنبال می‌کند:

1. ابتدا با استفاده از ابزارهای اسکن، وب‌سایت‌هایی را که از نسخه آسیب‌پذیر افزونه PostGallery استفاده می‌کنند، شناسایی می‌کند.

2. در وب‌سایت هدف، یک حساب کاربری با پایین‌ترین سطح دسترسی ممکن (مانند Subscriber) ثبت‌نام می‌کند. بسیاری از سایت‌ها اجازه ثبت‌نام عمومی را می‌دهند.

3. سپس با استفاده از قابلیت آپلود فایل در این افزونه، به جای یک فایل تصویر مجاز، یک فایل مخرب (مثلاً یک وب‌شل با پسوند .php) را آپلود می‌کند. به دلیل ضعف در اعتبارسنجی، سیستم این فایل را می‌پذیرد.

4. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده از طریق مرورگر، کد مخرب خود را بر روی سرور اجرا کرده و کنترل کامل آن را به دست می‌آورد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65959

🟠 Risk Level: HIGH (Score: 8.7)

تحلیل آسیب‌پذیری Stored XSS در پلتفرم Open WebUI
CVE-2025-65959
---

Vulnerability Description:
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در پلتفرم هوش مصنوعی Open WebUI و در نسخه‌های قبل از 0.6.37 شناسایی شده است.

این ضعف امنیتی در عملکرد دانلود یادداشت‌ها به صورت فایل PDF وجود دارد. مهاجم می‌تواند با بارگذاری یک فایل Markdown که حاوی تگ‌های SVG مخرب است، کدهای جاوا اسکریپت دلخواه را در مرورگر قربانی اجرا کند. آسیب‌پذیری زمانی فعال می‌شود که کاربر قربانی، یادداشت آلوده را به عنوان فایل PDF دانلود می‌کند.

Impact:
مهم‌ترین پیامد این آسیب‌پذیری، سرقت توکن‌های نشست (Session Tokens) کاربران است. این امر به مهاجم اجازه می‌دهد تا نشست کاربر قربانی را ربوده و به حساب کاربری او، اعم از کاربر عادی یا مدیر سیستم، دسترسی کامل پیدا کند.

پس از در اختیار گرفتن حساب کاربری، مهاجم قادر است به اطلاعات خصوصی دسترسی یابد، از طرف کاربر اقدامات مخربی انجام دهد و در صورت دسترسی به حساب مدیر، کنترل کامل پلتفرم را به دست بگیرد.

Scenario:
سناریوی حمله به شرح زیر است:

۱. مهاجم یک فایل Markdown با محتوای مخرب ایجاد می‌کند. این فایل شامل یک تگ SVG است که درون آن کد جاوا اسکریپت برای سرقت توکن‌ها تعبیه شده است.

۲. مهاجم وارد حساب کاربری خود در Open WebUI شده و فایل مخرب را در بخش یادداشت‌ها (Notes) وارد (import) می‌کند.

۳. مهاجم این یادداشت را با یک کاربر دیگر (قربانی) به اشتراک می‌گذارد یا او را ترغیب به مشاهده و دانلود آن می‌کند.

۴. قربانی، پس از ورود به حساب خود، یادداشت آلوده را باز کرده و روی گزینه دانلود به صورت PDF کلیک می‌کند.

۵. در لحظه پردازش برای ایجاد PDF، کد جاوا اسکریپت مخرب در مرورگر قربانی اجرا شده، توکن نشست او را سرقت کرده و به سرور تحت کنترل مهاجم ارسال می‌کند.

۶. مهاجم با استفاده از توکن سرقت شده، به حساب کاربری قربانی وارد شده و کنترل آن را در دست می‌گیرد.

---
توصیه می‌شود کاربران این پلتفرم در اسرع وقت به نسخه 0.6.37 یا بالاتر به‌روزرسانی کنند تا از این خطر در امان بمانند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13066

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-13066

---

شرح آسیب‌پذیری:
افزونه Demo Importer Plus برای وردپرس در تمامی نسخه‌های 2.0.6 و پایین‌تر، دارای یک آسیب‌پذیری حیاتی از نوع آپلود فایل دلخواه (Arbitrary File Upload) است. این ضعف امنیتی به دلیل عدم اعتبارسنجی کافی و صحیح نوع فایل‌های ورودی با پسوند WXR (فرمت استاندارد درون‌ریزی محتوا در وردپرس) به وجود آمده است. مهاجم می‌تواند با ساخت یک فایل با پسوند دوگانه (مانند backdoor.php.xml)، مکانیزم امنیتی افزونه را فریب داده و فایل مخرب خود را با موفقیت بر روی سرور آپلود کند.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) بر روی سرور شود. این امر به مهاجم اجازه می‌دهد تا کنترل کامل وب‌سایت را در دست بگیرد، به اطلاعات حساس (مانند اطلاعات کاربران و پایگاه داده) دسترسی پیدا کند، بدافزار یا درهای پشتی (Backdoor) نصب کند و از سرور برای انجام حملات دیگر سوءاستفاده نماید.

سناریوی حمله:
یک مهاجم که حداقل سطح دسترسی نویسنده (Author) را در سایت وردپرسی هدف به دست آورده است، یک فایل شل (Web Shell) مخرب با نامی مانند shell.php.xml ایجاد می‌کند. سپس با استفاده از قابلیت درون‌ریزی در افزونه Demo Importer Plus، این فایل را آپلود می‌کند. افزونه به دلیل ضعف در اعتبارسنجی، پسوند .xml را تشخیص داده و آپلود را مجاز می‌داند، در حالی که وب سرور فایل را به عنوان یک اسکریپت PHP شناسایی و پردازش می‌کند. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده، کد مخرب خود را اجرا کرده و کنترل سرور را به دست می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13313

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل حرفه‌ای آسیب‌پذیری با شناسه CVE-2025-13313
افزونه CRM Memberships برای وردپرس

---

شرح آسیب‌پذیری: 📝
آسیب‌پذیری شناسایی شده با کد CVE-2025-13313 در افزونه CRM Memberships برای وردپرس، از نوع افزایش سطح دسترسی (Privilege Escalation) است. این مشکل در تمامی نسخه‌های افزونه تا نسخه 2.5 (و خود این نسخه) وجود دارد.

ضعف اصلی ناشی از نبود کنترل‌های لازم برای احراز هویت و بررسی مجوز دسترسی در تابع ای‌جکس (AJAX) به نام ntzcrm_changepassword است. این نقص به مهاجمان احراز هویت نشده اجازه می‌دهد تا رمز عبور هر کاربری را در وب‌سایت بازنشانی کنند. علاوه بر این، یک نقطه ضعف دیگر در اندپوینت ntzcrm_get_users وجود دارد که به مهاجمان اجازه می‌دهد بدون نیاز به لاگین، لیست ایمیل کاربران سایت را استخراج کرده و فرآیند حمله را تسهیل کنند.

تأثیر: 💥
یک مهاجم بدون نیاز به حساب کاربری، می‌تواند از این آسیب‌پذیری برای بازنشانی رمز عبور هر کاربری، از جمله کاربران با سطح دسترسی مدیر کل (Administrator)، سوءاستفاده کند.

با تغییر رمز عبور یک مدیر، مهاجم می‌تواند کنترل کامل وب‌سایت را به دست آورد. این امر می‌تواند منجر به سرقت اطلاعات حساس کاربران، تغییر محتوای سایت (Defacement)، نصب بدافزار و یا از کار انداختن کامل وب‌سایت شود.

سناریوی حمله: 🎯
یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم ابتدا یک درخواست به اندپوینت عمومی و ناامن ntzcrm_get_users ارسال می‌کند. در پاسخ، لیستی از آدرس‌های ایمیل کاربران ثبت‌نام شده در سایت را به دست می‌آورد.

۲. سپس، مهاجم از میان ایمیل‌های به دست آمده، یک حساب کاربری با دسترسی بالا (مانند مدیر) را به عنوان هدف انتخاب می‌کند.

۳. مهاجم درخواستی را به تابع آسیب‌پذیر ntzcrm_changepassword ارسال می‌کند. در این درخواست، ایمیل کاربر هدف و یک رمز عبور جدید (که توسط خود مهاجم تعیین شده) را وارد می‌کند. به دلیل نبود سازوکار امنیتی، سیستم این درخواست غیرمجاز را پذیرفته و رمز عبور کاربر را تغییر می‌دهد.

۴. در نهایت، مهاجم با استفاده از ایمیل کاربر و رمز عبور جدید، با موفقیت به عنوان آن کاربر وارد وب‌سایت شده و کنترل کامل حساب کاربری و وب‌سایت را در اختیار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12153

🟠 Risk Level: HIGH (Score: 8.8)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12153 در افزونه Featured Image via URL برای وردپرس شناسایی شده است. این آسیب‌پذیری از نوع آپلود فایل دلخواه (Arbitrary File Upload) بوده و به دلیل عدم وجود اعتبارسنجی صحیح برای نوع فایل‌های آپلود شده در تمامی نسخه‌ها تا نسخه 0.1 (و خود این نسخه) به وجود آمده است.

💥 میزان تأثیر:

این آسیب‌پذیری به یک مهاجم احرازهویت‌شده (با سطح دسترسی حداقل Contributor) اجازه می‌دهد تا فایل‌های دلخواه، مانند وب‌شل (Web Shell) یا اسکریپت‌های مخرب دیگر، را بر روی سرور سایت آسیب‌پذیر آپلود کند. موفقیت در بهره‌برداری از این ضعف امنیتی می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution) شده و در نهایت، کنترل کامل وب‌سایت، سرقت اطلاعات حساس و یا استفاده از سرور برای حملات بیشتر را برای مهاجم فراهم آورد.

🎭 سناریوی حمله:

۱. مهاجم با یک حساب کاربری با سطح دسترسی Contributor یا بالاتر وارد سایت وردپرسی هدف می‌شود.

۲. با استفاده از قابلیت آسیب‌پذیر افزونه، مهاجم به جای یک فایل تصویر، یک فایل مخرب با پسوند .php را برای آپلود انتخاب می‌کند.

۳. به دلیل نبود مکانیزم اعتبارسنجی، افزونه فایل مخرب را بدون بررسی نوع آن پذیرفته و بر روی سرور ذخیره می‌کند.

۴. در نهایت، مهاجم با دسترسی مستقیم به URL فایل آپلود شده، کد مخرب خود را بر روی سرور اجرا کرده و می‌تواند کنترل آن را به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal