🚨 New Vulnerability Alert: CVE-2025-57201

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری: CVE-2025-57201
---

توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-57201 در دستگاه‌های AVTECH SECURITY Corporation DGM1104 با فریمور نسخه FullImg-1015-1004-1006-1003 شناسایی شده است. این ضعف امنیتی از نوع تزریق دستور (Command Injection) بوده و در عملکرد سرور SMB دستگاه وجود دارد.

یک مهاجم که به سیستم دسترسی احرازهویت‌شده (Authenticated) داشته باشد، می‌تواند با ارسال یک ورودی دستکاری‌شده و مخرب، دستورات دلخواه خود را بر روی سیستم‌عامل دستگاه اجرا کند.

تأثیر:

تأثیر اصلی این آسیب‌پذیری بسیار بالا ارزیابی می‌شود. بهره‌برداری موفق از آن به مهاجم اجازه می‌دهد تا دستورات دلخواه را با سطح دسترسی پروسه در حال اجرا (احتمالاً root) بر روی دستگاه اجرا کند.

این امر می‌تواند منجر به پیامدهای زیر گردد:
- کنترل کامل دستگاه: مهاجم می‌تواند کنترل کامل دستگاه را به دست بگیرد.
- سرقت اطلاعات: دسترسی و استخراج داده‌های حساس ذخیره‌شده بر روی دستگاه یا در حال عبور از شبکه.
- نصب بدافزار: نصب انواع بدافزار مانند باج‌افزار، تروجان یا ابزارهای جاسوسی.
- حملات بعدی: استفاده از دستگاه آسیب‌دیده به عنوان نقطه‌ای برای حمله به سایر سیستم‌ها در شبکه داخلی (Pivoting).

سناریو:

یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. دستیابی به اطلاعات ورود: مهاجم در ابتدا باید به اطلاعات ورود معتبر به پنل مدیریتی دستگاه دست پیدا کند. این کار می‌تواند از طریق روش‌هایی مانند حملات Brute-force روی رمزهای عبور ضعیف، فیشینگ یا استفاده از اطلاعات ورود پیش‌فرض (در صورت عدم تغییر) انجام شود.

۲. ورود به سیستم: مهاجم با استفاده از اطلاعات به دست آمده، به سیستم وارد می‌شود.

۳. ارسال Payload مخرب: مهاجم به بخشی از پنل مدیریتی که با تنظیمات سرور SMB در ارتباط است (مانند نام اشتراک‌گذاری، مسیر فایل و...) مراجعه می‌کند. در یکی از فیلدهای ورودی، یک payload دستکاری‌شده که حاوی دستورات سیستم‌عامل است (برای مثال، دستوری برای ایجاد یک Reverse Shell) را وارد می‌کند.

۴. اجرای دستور: سیستم به دلیل عدم اعتبارسنجی صحیح ورودی، رشته مخرب را به عنوان یک دستور معتبر سیستم‌عامل تفسیر و اجرا می‌کند.

۵. کنترل سیستم: در این لحظه، دستور مهاجم اجرا شده و او به یک شل دسترسی پیدا می‌کند که به معنای در اختیار گرفتن کنترل کامل دستگاه است.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32641

🔴 Risk Level: CRITICAL (Score: 9.8)

گزارش تحلیل آسیب‌پذیری: اجرای کد از راه دور در Masa CMS
CVE-2024-32641

🔎 شرح آسیب‌پذیری:
یک آسیب‌پذیری حیاتی از نوع اجرای کد از راه دور (RCE) در سیستم مدیریت محتوای Masa CMS شناسایی شده است. این ضعف امنیتی نسخه‌های قبل از 7.2.8، 7.3.13 و 7.4.6 را تحت تأثیر قرار می‌دهد.

نقطه ضعف اصلی در تابع addParam وجود دارد. این تابع، ورودی کاربر را از طریق پارامتری به نام criteria دریافت کرده و بدون اعتبارسنجی کافی، آن را به تابع دیگری به نام setDynamicContent ارسال می‌کند. تابع دوم این ورودی را ارزیابی و اجرا می‌کند. در نتیجه، یک مهاجم بدون نیاز به احراز هویت می‌تواند با استفاده از تگ مخصوص m، کدهای مخرب خود را تزریق و بر روی سرور اجرا نماید.

⚡️ تأثیر:
با توجه به این که آسیب‌پذیری از نوع RCE است و نیازی به احراز هویت ندارد، سطح خطر آن بسیار بالا (Critical) ارزیابی می‌شود. بهره‌برداری موفق از این حفره امنیتی به مهاجم اجازه می‌دهد تا:

- کنترل کامل سرور میزبان را به دست گیرد.
- به اطلاعات حساس مانند پایگاه داده‌ها، فایل‌های کاربران و اطلاعات محرمانه دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.
- بدافزارهایی مانند باج‌افزار یا ماینر ارز دیجیتال را بر روی سرور نصب کند.
- از سرور آلوده به عنوان نقطه‌ای برای حمله به سایر سیستم‌های داخل شبکه استفاده نماید.

📜 سناریو:
یک مهاجم، وب‌سایتی را که از نسخه آسیب‌پذیر Masa CMS استفاده می‌کند، شناسایی می‌کند.

مهاجم یک درخواست HTTP دستکاری‌شده را به سمت سرور ارسال می‌کند. در این درخواست، پارامتر criteria حاوی یک پی‌لود (Payload) مخرب است که با تگ m ساخته شده. برای مثال، این پی‌لود می‌تواند دستوری برای دانلود و اجرای یک اسکریپت Reverse Shell از سرور تحت کنترل مهاجم باشد.

سرور Masa CMS درخواست را پردازش کرده و تابع setDynamicContent پی‌لود مخرب را به عنوان کد معتبر اجرا می‌کند. در نتیجه، اسکریپت Reverse Shell روی سرور اجرا شده و یک ارتباط مستقیم با دستگاه مهاجم برقرار می‌کند.

در این لحظه، مهاجم به یک خط فرمان (Shell) روی سرور دسترسی پیدا کرده و می‌تواند هر دستوری را با سطح دسترسی پروسه وب‌سرور اجرا کند و کنترل سیستم را در دست بگیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-32642

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2024-32642
یک آسیب‌پذیری حیاتی از نوع Host Header Poisoning در سیستم مدیریت محتوای Masa CMS شناسایی شده است که می‌تواند منجر به تصاحب حساب کاربری شود.

📄 توضیحات آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2024-32642 در سیستم مدیریت محتوای متن‌باز Masa CMS وجود دارد. این ضعف امنیتی در نسخه‌های پیش از 7.2.8، 7.3.13 و 7.4.6 یافت می‌شود. مشکل اصلی این است که برنامه هنگام تولید لینک‌های بازنشانی رمز عبور، به هدر Host ارسالی در درخواست HTTP به صورت ناامن اعتماد می‌کند. این امر به مهاجم اجازه می‌دهد تا یک هدر Host جعلی را به سرور ارسال کرده و برنامه را فریب دهد تا لینکی با دامنه تحت کنترل مهاجم ایجاد کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری تصاحب کامل حساب کاربری (Account Takeover) است. اگر حساب مورد هدف دارای دسترسی مدیریتی باشد، مهاجم می‌تواند کنترل کامل سیستم را به دست آورد. پیامدهای احتمالی عبارتند از:
- سرقت اطلاعات حساس
- دستکاری یا حذف محتوای وب‌سایت
- اجرای حملات بیشتر از طریق دسترسی به دست آمده

⚙️ سناریوی حمله:
۱. مهاجم فرآیند "فراموشی رمز عبور" را برای حساب یک کاربر (قربانی) آغاز می‌کند.

۲. همزمان، یک هدر Host مخرب در درخواست HTTP به سمت سرور ارسال می‌کند که به دامنه تحت کنترل خودش اشاره دارد.

۳. سیستم Masa CMS، لینک بازنشانی رمز عبور را با استفاده از دامنه جعلی مهاجم تولید کرده و آن را از طریق ایمیل برای قربانی ارسال می‌کند.

۴. قربانی ایمیل را دریافت کرده و با تصور اینکه لینک معتبر است، روی آن کلیک می‌کند.

۵. با کلیک بر روی لینک، توکن (token) محرمانه بازنشانی رمز عبور به سرور مهاجم ارسال می‌شود.

۶. مهاجم توکن را ضبط کرده و از آن برای تنظیم یک رمز عبور جدید برای حساب قربانی و تصاحب کامل آن استفاده می‌کند.

---
🛡️ راهکار و اصلاحیه:
توسعه‌دهندگان Masa CMS اصلاحیه‌های امنیتی را منتشر کرده‌اند. به تمام کاربران اکیداً توصیه می‌شود که سیستم خود را در اسرع وقت به یکی از نسخه‌های امن زیر به‌روزرسانی کنند:
- 7.2.8
- 7.3.13
- 7.4.6
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-33208

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل خلاصه آسیب‌پذیری: CVE-2025-33208

این گزارش به تحلیل آسیب‌پذیری شناسایی‌شده در پلتفرم NVIDIA TAO می‌پردازد که می‌تواند منجر به اجرای کد از راه دور و به خطر افتادن سیستم شود.

---

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-33208 در فریم‌ورک NVIDIA TAO وجود دارد. این ضعف امنیتی از نوع Uncontrolled Search Path است. به این معنی که برنامه هنگام فراخوانی یک منبع (مانند یک فایل کتابخانه‌ای یا DLL)، مسیر کامل و امن آن را مشخص نمی‌کند و در عوض، آن را در مسیرهای مختلفی جستجو می‌کند. یک مهاجم می‌تواند با قرار دادن یک فایل مخرب با نام مشابه در یکی از این مسیرهای جستجو، برنامه را فریب دهد تا به جای فایل اصلی، فایل مخرب را بارگذاری و اجرا کند.

تاثیرات:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به طیف وسیعی از پیامدهای امنیتی شدید شود:

* افزایش سطح دسترسی (EoP): اگر برنامه TAO با دسترسی‌های بالا (مانند ادمین) اجرا شود، کد مخرب مهاجم نیز با همان سطح دسترسی اجرا خواهد شد.

* دستکاری داده‌ها: مهاجم می‌تواند داده‌های حساس، مدل‌های هوش مصنوعی یا فایل‌های پروژه‌ای که برنامه در حال پردازش آن‌هاست را تغییر داده یا تخریب کند.

* منع سرویس (DoS): اجرای کد مخرب می‌تواند منجر به از کار افتادن برنامه یا حتی کل سیستم عامل شود.

* افشای اطلاعات: کد مهاجم می‌تواند به اطلاعات حساسی که برنامه به آن‌ها دسترسی دارد (مانند کلیدهای API، داده‌های آموزشی یا اطلاعات کاربری) دسترسی پیدا کرده و آن‌ها را به سرقت ببرد.

سناریوی حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

1. مهاجم یک فایل مخرب (به عنوان مثال، یک فایل .dll با نامی عمومی مانند version.dll) را ایجاد می‌کند.

2. مهاجم از طریق مهندسی اجتماعی، کاربر را متقاعد می‌کند تا این فایل مخرب را در یک پوشه خاص، برای مثال پوشه دانلودها (Downloads)، ذخیره کند. در کنار این فایل، ممکن است یک فایل پروژه مربوط به TAO نیز قرار داده شود.

3. سپس کاربر فریب داده می‌شود تا برنامه NVIDIA TAO را از داخل همان پوشه (پوشه Downloads) اجرا کند یا فایل پروژه موجود در آن را باز کند.

4. هنگامی که برنامه TAO شروع به کار می‌کند، برای بارگذاری فایل version.dll، ابتدا پوشه فعلی را جستجو می‌کند. در این لحظه، نسخه مخرب فایل را پیدا کرده و آن را به جای نسخه اصلی و سیستمی، بارگذاری و اجرا می‌کند.

5. در نتیجه، کد مخرب مهاجم با سطح دسترسی برنامه TAO بر روی سیستم قربانی اجرا می‌شود و می‌تواند عملیات مورد نظر خود را (مانند نصب باج‌افزار یا سرقت اطلاعات) انجام دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66222

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی: اجرای کد از راه دور در DeepChat
CVE-2025-66222

---

Vulnerability Description:
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در کامپوننت پردازش دیاگرام‌های Mermaid در دستیار هوشمند DeepChat شناسایی شده است. نسخه‌های 0.5.0 و قدیمی‌تر تحت تأثیر این ضعف امنیتی قرار دارند.

این آسیب‌پذیری به یک مهاجم اجازه می‌دهد تا با تزریق کدهای جاوا اسکریپت مخرب در محتوای یک دیاگرام، آن کد را در بستر برنامه و بر روی سیستم سایر کاربرانی که آن دیاگرام را مشاهده می‌کنند، اجرا نماید.

Impact:
خطر اصلی این آسیب‌پذیری در قابلیت ارتقاء آن به سطح اجرای کد از راه دور (Remote Code Execution - RCE) نهفته است. مهاجم می‌تواند با بهره‌برداری از یک پل ارتباطی ناامن Electron IPC که در برنامه وجود دارد، یک سرور مخرب MCP (Model Context Protocol) را بر روی سیستم قربانی ثبت و اجرا کند.

موفقیت در این حمله به معنای در اختیار گرفتن کامل سیستم قربانی، سرقت اطلاعات حساس، نصب بدافزار و اجرای دستورات دلخواه توسط مهاجم خواهد بود. این آسیب‌پذیری دارای سطح بحرانی (Critical) است.

Scenario:
یک سناریوی حمله محتمل می‌تواند به شرح زیر باشد:

۱. مهاجم یک دیاگرام Mermaid حاوی پی‌لود مخرب XSS را طراحی کرده و آن را در یک چت یا مستند در پلتفرم DeepChat به اشتراک می‌گذارد.

۲. قربانی (کاربر دیگر) صفحه حاوی این دیاگرام را باز می‌کند. در این لحظه، کد جاوا اسکریپت مخرب در بستر (Context) اپلیکیشن DeepChat بر روی سیستم قربانی اجرا می‌شود.

۳. کد XSS اجرا شده، از طریق پل ارتباطی ناامن Electron IPC با پروسه‌های اصلی برنامه ارتباط برقرار کرده و دستورات مخرب را به آن‌ها ارسال می‌کند.

۴. در نهایت، این دستورات منجر به ثبت و راه‌اندازی یک سرور MCP جعلی بر روی دستگاه قربانی شده و به مهاجم دسترسی کامل برای اجرای کد از راه دور را می‌دهد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2024-45538

🔴 Risk Level: CRITICAL (Score: 9.6)

تحلیل آسیب‌پذیری بحرانی در محصولات Synology
CVE-2024-45538

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست بین سایتی (Cross-Site Request Forgery - CSRF) در فریمورک WebAPI محصولات سینولوژی شناسایی شده است. این ضعف امنیتی به مهاجم از راه دور اجازه می‌دهد تا با فریب دادن یک کاربر احرازهویت شده، دستورات دلخواه خود را بر روی دستگاه اجرا کند.

محصولات و نسخه‌های تحت تأثیر:
• Synology DiskStation Manager (DSM) قبل از 7.2.1-69057-2 و 7.2.2-72806
• Synology Unified Controller (DSMUC) قبل از 3.1.4-23079

---

تأثیر:
مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، اجرای کد از راه دور (RCE) با دسترسی‌های سطح بالا بر روی دستگاه است. مهاجم می‌تواند:

• کنترل کامل دستگاه را به دست گیرد.
• به تمامی اطلاعات ذخیره شده دسترسی پیدا کرده و آن‌ها را سرقت کند.
• بدافزار یا باج‌افزار بر روی سیستم نصب کند.
• از دستگاه به عنوان یک پایگاه برای حملات بیشتر به شبکه داخلی استفاده نماید.

---

سناریو:
یک سناریوی حمله محتمل به شرح زیر است:

۱. طراحی تله: مهاجم یک لینک، ایمیل یا صفحه وب مخرب طراحی می‌کند که حاوی یک درخواست جعلی به پنل مدیریت DSM است.

۲. قربانی: کاربر (مدیر سیستم) که در مرورگر خود به پنل وب دستگاه Synology خود لاگین کرده است، فریب خورده و بر روی لینک مخرب کلیک می‌کند یا از صفحه وب آلوده بازدید می‌نماید.

۳. سوءاستفاده: مرورگر قربانی، بدون اطلاع وی، درخواست جعلی را به همراه کوکی‌های احرازهویت به دستگاه Synology ارسال می‌کند. به دلیل وجود آسیب‌پذیری CSRF، دستگاه این درخواست را به عنوان یک فرمان معتبر از طرف مدیر سیستم می‌پذیرد.

۴. نتیجه: کد مخرب تعبیه شده توسط مهاجم بر روی دستگاه اجرا شده و کنترل کامل آن در اختیار مهاجم قرار می‌گیرد.

توصیه اکید می‌شود که کاربران محصولات مذکور در اسرع وقت دستگاه‌های خود را به آخرین نسخه‌های ارائه شده توسط Synology به‌روزرسانی کنند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66287

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-66287

🛡️ شرح آسیب‌پذیری:
یک نقص امنیتی در موتور رندر وب WebKitGTK شناسایی شده است. این آسیب‌پذیری که با کد CVE-2025-66287 ردیابی می‌شود، به دلیل مدیریت نادرست حافظه (Improper Memory Handling) هنگام پردازش محتوای وب مخرب به وجود می‌آید.

موتور WebKitGTK در بسیاری از برنامه‌های لینوکسی برای نمایش محتوای وب استفاده می‌شود. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا با ساخت یک صفحه وب خاص، باعث از کار افتادن (Crash) ناگهانی برنامه‌ای شود که از این موتور استفاده می‌کند.

💥 تأثیر:
تأثیر اصلی این آسیب‌پذیری، اجرای یک حمله محروم‌سازی از سرویس (Denial of Service - DoS) است. هنگامی که کاربر از طریق یک برنامه آسیب‌پذیر (مانند یک مرورگر وب یا کلاینت ایمیل) محتوای مخرب را باز می‌کند، برنامه به طور کامل بسته شده و از کار می‌افتد.

این اتفاق منجر به اختلال در کار کاربر و از دست رفتن احتمالی داده‌های ذخیره‌نشده می‌شود. اگرچه در توضیحات رسمی فقط به کرش اشاره شده، اما نقص‌های مربوط به مدیریت حافظه در موارد پیچیده‌تر می‌توانند پتانسیل اجرای کد از راه دور (RCE) را نیز فراهم کنند، هرچند این مورد برای این CVE تأیید نشده است.

🎭 سناریو:
یک مهاجم یک صفحه وب با کدهای HTML یا JavaScript دستکاری‌شده و مخرب ایجاد می‌کند.

سپس، مهاجم با استفاده از روش‌های مهندسی اجتماعی (مانند ارسال یک ایمیل فیشینگ یا یک پیام در شبکه‌های اجتماعی)، قربانی را ترغیب به کلیک کردن روی لینک آن صفحه وب می‌کند.

به محض اینکه برنامه آسیب‌پذیر روی سیستم قربانی (که از WebKitGTK استفاده می‌کند) تلاش می‌کند این محتوای مخرب را پردازش و نمایش دهد، باگ مدیریت حافظه فعال شده و باعث کرش کردن و بسته شدن ناگهانی برنامه می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-14015

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل و گزارش خلاصه آسیب‌پذیری
CVE-2025-14015

---

شرح آسیب‌پذیری:
یک ضعف امنیتی از نوع سرریز بافر (Buffer Overflow) در روترهای H3C Magic B0 تا نسخه فریم‌ور 100R002 شناسایی شده است. این آسیب‌پذیری در تابع EditWlanMacList واقع در فایل /goform/aspForm وجود دارد.

مهاجم از راه دور می‌تواند با ارسال یک درخواست دستکاری‌شده به این فایل و ارسال مقادیر مخرب در پارامتر param، باعث سرریز بافر شده و کنترل دستگاه را در دست بگیرد.

تأثیر:
موفقیت‌آمیز بودن این حمله به مهاجم اجازه اجرای کد از راه دور (Remote Code Execution) بر روی روتر را می‌دهد. این به معنای در اختیار گرفتن کامل دستگاه است.

پیامدهای اصلی عبارتند از:
- شنود و سرقت تمام ترافیک اینترنت (شامل نام‌های کاربری و رمزهای عبور).
- هدایت کاربران به صفحات فیشینگ و بدافزار.
- استفاده از روتر برای حمله به سایر دستگاه‌های موجود در شبکه داخلی.
- افزودن دستگاه به یک شبکه بات‌نت (Botnet).

سناریو حمله:
۱. مهاجم یک روتر آسیب‌پذیر H3C را در شبکه شناسایی می‌کند.

۲. یک درخواست وب مخرب به پنل مدیریتی دستگاه، به طور خاص به مسیر /goform/aspForm ارسال می‌کند.

۳. در این درخواست، مقداری بسیار طولانی و دستکاری‌شده برای پارامتر param قرار داده می‌شود تا تابع EditWlanMacList را هدف قرار دهد.

۴. این عمل باعث سرریز بافر شده و کد مخرب مهاجم بر روی سیستم‌عامل روتر اجرا می‌شود.

مهم: کد بهره‌برداری (Exploit) این آسیب‌پذیری به صورت عمومی منتشر شده و شرکت سازنده نیز پاسخی به گزارش امنیتی نداده است. این موضوع ریسک بهره‌برداری را به شدت افزایش می‌دهد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12995

🟠 Risk Level: HIGH (Score: 8.1)

تحلیل آسیب‌پذیری CVE-2025-12995

شرح آسیب‌پذیری:
آسیب‌پذیری با شناسه CVE-2025-12995 در شبکه CareLink محصول شرکت Medtronic شناسایی شده است. این ضعف امنیتی به یک مهاجم راه دور و احراز هویت نشده اجازه می‌دهد تا یک حمله Brute Force را بر روی یک نقطه پایانی API (API Endpoint) اجرا کند. هدف از این حمله، حدس زدن و کشف یک رمز عبور معتبر در سیستم است که تحت شرایط خاصی امکان‌پذیر می‌شود.

نسخه‌های تحت تأثیر، تمام ورژن‌های شبکه CareLink قبل از تاریخ ۴ دسامبر ۲۰۲۵ می‌باشند.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به موارد زیر شود:

دسترسی غیرمجاز: کشف رمز عبور کاربران و به دست گرفتن کنترل حساب‌های آن‌ها.

افشای اطلاعات حساس: دسترسی به داده‌های پزشکی و اطلاعات هویتی بیماران (PHI) که در شبکه CareLink ذخیره شده‌اند.

تشدید حملات: امکان سوءاستفاده از حساب‌های به سرقت رفته برای اجرای حملات بیشتر یا دستکاری اطلاعات در سیستم.

سناریوی حمله:
یک مهاجم، نقطه پایانی API آسیب‌پذیر را در یکی از سرورهای شبکه Medtronic CareLink که در اینترنت قابل دسترس است، شناسایی می‌کند.

سپس با استفاده از ابزارهای خودکار، لیستی از رمزهای عبور متداول (Password List) را به صورت مکرر و با سرعت بالا به این API ارسال می‌کند تا بتواند رمز عبور یک حساب کاربری معتبر را حدس بزند.

از آنجایی که مکانیزم‌های حفاظتی مانند محدودیت نرخ درخواست (Rate Limiting) یا قفل شدن حساب کاربری به درستی پیاده‌سازی نشده‌اند، حمله Brute Force بدون مانع ادامه می‌یابد.

در نهایت، مهاجم موفق به کشف یک رمز عبور صحیح شده و با استفاده از آن، به سیستم وارد می‌شود و به اطلاعات حساس بیماران دسترسی پیدا می‌کند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65958

🟠 Risk Level: HIGH (Score: 8.5)

تحلیل آسیب‌پذیری CVE-2025-65958 در Open WebUI

---

آسیب‌پذیری:
یک آسیب‌پذیری از نوع جعل درخواست سمت سرور (Server-Side Request Forgery - SSRF) با شناسه CVE-2025-65958 در پلتفرم هوش مصنوعی Open WebUI شناسایی شده است. این پلتفرم که برای کار به صورت کاملاً آفلاین طراحی شده، در نسخه‌های قبل از 0.6.37 به هر کاربر احرازهویت‌شده (حتی با کمترین سطح دسترسی) اجازه می‌دهد تا سرور را وادار به ارسال درخواست‌های HTTP به آدرس‌های دلخواه کند. این ضعف امنیتی به مهاجم اجازه می‌دهد تا از سرور به عنوان یک پروکسی برای تعامل با شبکه‌های داخلی یا سرویس‌های خارجی استفاده کند.

تأثیر:
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به عواقب جدی امنیتی شود. مهاجم قادر خواهد بود:
- به متادیتاهای سرویس‌های ابری (مانند AWS, GCP, Azure) دسترسی پیدا کرده و اطلاعات حساس مانند کلیدهای دسترسی را سرقت کند.
- شبکه‌های داخلی سازمان را پویش (Scan) کرده و سرویس‌ها و پورت‌های باز را شناسایی کند.
- به سرویس‌های داخلی که پشت فایروال قرار دارند و از اینترنت قابل دسترس نیستند، دسترسی پیدا کند.
- اطلاعات حساس را از سرویس‌های داخلی که سرور به آنها دسترسی دارد، استخراج و سرقت نماید.

سناریو:
یک مهاجم با یک حساب کاربری عادی در یک نمونه آسیب‌پذیر از Open WebUI لاگین می‌کند. سپس با سوءاستفاده از قابلیت آسیب‌پذیر، درخواستی را به سرور ارسال می‌کند که هدف آن آدرس متادیتای سرور ابری میزبان است (برای مثال: https://169.254.169.254/latest/meta-data/). سرور Open WebUI این درخواست را به عنوان یک درخواست معتبر از طرف خود اجرا کرده و پاسخ را که می‌تواند حاوی کلیدهای دسترسی موقت باشد، به مهاجم برمی‌گرداند. مهاجم با در اختیار داشتن این کلیدها، می‌تواند به منابع ابری سازمان دسترسی غیرمجاز پیدا کند.

توصیه اکید می‌شود مدیران سیستم فوراً نسبت به به‌روزرسانی Open WebUI به نسخه 0.6.37 یا بالاتر اقدام نمایند.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13543

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری | CVE-2025-13543
خلاصه گزارش فنی برای مدیران وب‌سایت‌های وردپرسی

---

🐞 شرح آسیب‌پذیری:

آسیب‌پذیری از نوع آپلود فایل دلخواه (Arbitrary File Upload) در افزونه PostGallery برای وردپرس شناسایی شده است. این ضعف امنیتی در تمامی نسخه‌های این افزونه تا نسخه 1.12.5 (و خود این نسخه) وجود دارد.

علت اصلی این آسیب‌پذیری، عدم اعتبارسنجی صحیح نوع فایل‌های آپلود شده در توابع کلاس PostGalleryUploader است. این نقص به مهاجمان احرازهویت‌شده با حداقل سطح دسترسی مشترک (Subscriber) اجازه می‌دهد تا فایل‌های دلخواه و مخرب خود (مانند وب‌شل‌ها) را بر روی سرور سایت قربانی بارگذاری کنند.

💥 تأثیر:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) شود. این بدترین سناریوی ممکن برای یک وب‌سایت است و به مهاجم اجازه می‌دهد:

🔻 کنترل کامل وب‌سایت و سرور را در دست بگیرد.
🔻 به پایگاه داده و اطلاعات حساس کاربران دسترسی پیدا کند.
🔻 وب‌سایت را تخریب کرده یا از آن برای انتشار بدافزار استفاده کند.
🔻 یک در پشتی (Backdoor) برای دسترسی‌های آتی بر روی سرور نصب کند.

🎭 سناریو:

یک مهاجم سناریوی زیر را دنبال می‌کند:

1. ابتدا با استفاده از ابزارهای اسکن، وب‌سایت‌هایی را که از نسخه آسیب‌پذیر افزونه PostGallery استفاده می‌کنند، شناسایی می‌کند.

2. در وب‌سایت هدف، یک حساب کاربری با پایین‌ترین سطح دسترسی ممکن (مانند Subscriber) ثبت‌نام می‌کند. بسیاری از سایت‌ها اجازه ثبت‌نام عمومی را می‌دهند.

3. سپس با استفاده از قابلیت آپلود فایل در این افزونه، به جای یک فایل تصویر مجاز، یک فایل مخرب (مثلاً یک وب‌شل با پسوند .php) را آپلود می‌کند. به دلیل ضعف در اعتبارسنجی، سیستم این فایل را می‌پذیرد.

4. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده از طریق مرورگر، کد مخرب خود را بر روی سرور اجرا کرده و کنترل کامل آن را به دست می‌آورد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65959

🟠 Risk Level: HIGH (Score: 8.7)

تحلیل آسیب‌پذیری Stored XSS در پلتفرم Open WebUI
CVE-2025-65959
---

Vulnerability Description:
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در پلتفرم هوش مصنوعی Open WebUI و در نسخه‌های قبل از 0.6.37 شناسایی شده است.

این ضعف امنیتی در عملکرد دانلود یادداشت‌ها به صورت فایل PDF وجود دارد. مهاجم می‌تواند با بارگذاری یک فایل Markdown که حاوی تگ‌های SVG مخرب است، کدهای جاوا اسکریپت دلخواه را در مرورگر قربانی اجرا کند. آسیب‌پذیری زمانی فعال می‌شود که کاربر قربانی، یادداشت آلوده را به عنوان فایل PDF دانلود می‌کند.

Impact:
مهم‌ترین پیامد این آسیب‌پذیری، سرقت توکن‌های نشست (Session Tokens) کاربران است. این امر به مهاجم اجازه می‌دهد تا نشست کاربر قربانی را ربوده و به حساب کاربری او، اعم از کاربر عادی یا مدیر سیستم، دسترسی کامل پیدا کند.

پس از در اختیار گرفتن حساب کاربری، مهاجم قادر است به اطلاعات خصوصی دسترسی یابد، از طرف کاربر اقدامات مخربی انجام دهد و در صورت دسترسی به حساب مدیر، کنترل کامل پلتفرم را به دست بگیرد.

Scenario:
سناریوی حمله به شرح زیر است:

۱. مهاجم یک فایل Markdown با محتوای مخرب ایجاد می‌کند. این فایل شامل یک تگ SVG است که درون آن کد جاوا اسکریپت برای سرقت توکن‌ها تعبیه شده است.

۲. مهاجم وارد حساب کاربری خود در Open WebUI شده و فایل مخرب را در بخش یادداشت‌ها (Notes) وارد (import) می‌کند.

۳. مهاجم این یادداشت را با یک کاربر دیگر (قربانی) به اشتراک می‌گذارد یا او را ترغیب به مشاهده و دانلود آن می‌کند.

۴. قربانی، پس از ورود به حساب خود، یادداشت آلوده را باز کرده و روی گزینه دانلود به صورت PDF کلیک می‌کند.

۵. در لحظه پردازش برای ایجاد PDF، کد جاوا اسکریپت مخرب در مرورگر قربانی اجرا شده، توکن نشست او را سرقت کرده و به سرور تحت کنترل مهاجم ارسال می‌کند.

۶. مهاجم با استفاده از توکن سرقت شده، به حساب کاربری قربانی وارد شده و کنترل آن را در دست می‌گیرد.

---
توصیه می‌شود کاربران این پلتفرم در اسرع وقت به نسخه 0.6.37 یا بالاتر به‌روزرسانی کنند تا از این خطر در امان بمانند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13066

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-13066

---

شرح آسیب‌پذیری:
افزونه Demo Importer Plus برای وردپرس در تمامی نسخه‌های 2.0.6 و پایین‌تر، دارای یک آسیب‌پذیری حیاتی از نوع آپلود فایل دلخواه (Arbitrary File Upload) است. این ضعف امنیتی به دلیل عدم اعتبارسنجی کافی و صحیح نوع فایل‌های ورودی با پسوند WXR (فرمت استاندارد درون‌ریزی محتوا در وردپرس) به وجود آمده است. مهاجم می‌تواند با ساخت یک فایل با پسوند دوگانه (مانند backdoor.php.xml)، مکانیزم امنیتی افزونه را فریب داده و فایل مخرب خود را با موفقیت بر روی سرور آپلود کند.

تأثیر:
موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution - RCE) بر روی سرور شود. این امر به مهاجم اجازه می‌دهد تا کنترل کامل وب‌سایت را در دست بگیرد، به اطلاعات حساس (مانند اطلاعات کاربران و پایگاه داده) دسترسی پیدا کند، بدافزار یا درهای پشتی (Backdoor) نصب کند و از سرور برای انجام حملات دیگر سوءاستفاده نماید.

سناریوی حمله:
یک مهاجم که حداقل سطح دسترسی نویسنده (Author) را در سایت وردپرسی هدف به دست آورده است، یک فایل شل (Web Shell) مخرب با نامی مانند shell.php.xml ایجاد می‌کند. سپس با استفاده از قابلیت درون‌ریزی در افزونه Demo Importer Plus، این فایل را آپلود می‌کند. افزونه به دلیل ضعف در اعتبارسنجی، پسوند .xml را تشخیص داده و آپلود را مجاز می‌داند، در حالی که وب سرور فایل را به عنوان یک اسکریپت PHP شناسایی و پردازش می‌کند. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده، کد مخرب خود را اجرا کرده و کنترل سرور را به دست می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-13313

🔴 Risk Level: CRITICAL (Score: 9.8)

تحلیل حرفه‌ای آسیب‌پذیری با شناسه CVE-2025-13313
افزونه CRM Memberships برای وردپرس

---

شرح آسیب‌پذیری: 📝
آسیب‌پذیری شناسایی شده با کد CVE-2025-13313 در افزونه CRM Memberships برای وردپرس، از نوع افزایش سطح دسترسی (Privilege Escalation) است. این مشکل در تمامی نسخه‌های افزونه تا نسخه 2.5 (و خود این نسخه) وجود دارد.

ضعف اصلی ناشی از نبود کنترل‌های لازم برای احراز هویت و بررسی مجوز دسترسی در تابع ای‌جکس (AJAX) به نام ntzcrm_changepassword است. این نقص به مهاجمان احراز هویت نشده اجازه می‌دهد تا رمز عبور هر کاربری را در وب‌سایت بازنشانی کنند. علاوه بر این، یک نقطه ضعف دیگر در اندپوینت ntzcrm_get_users وجود دارد که به مهاجمان اجازه می‌دهد بدون نیاز به لاگین، لیست ایمیل کاربران سایت را استخراج کرده و فرآیند حمله را تسهیل کنند.

تأثیر: 💥
یک مهاجم بدون نیاز به حساب کاربری، می‌تواند از این آسیب‌پذیری برای بازنشانی رمز عبور هر کاربری، از جمله کاربران با سطح دسترسی مدیر کل (Administrator)، سوءاستفاده کند.

با تغییر رمز عبور یک مدیر، مهاجم می‌تواند کنترل کامل وب‌سایت را به دست آورد. این امر می‌تواند منجر به سرقت اطلاعات حساس کاربران، تغییر محتوای سایت (Defacement)، نصب بدافزار و یا از کار انداختن کامل وب‌سایت شود.

سناریوی حمله: 🎯
یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم ابتدا یک درخواست به اندپوینت عمومی و ناامن ntzcrm_get_users ارسال می‌کند. در پاسخ، لیستی از آدرس‌های ایمیل کاربران ثبت‌نام شده در سایت را به دست می‌آورد.

۲. سپس، مهاجم از میان ایمیل‌های به دست آمده، یک حساب کاربری با دسترسی بالا (مانند مدیر) را به عنوان هدف انتخاب می‌کند.

۳. مهاجم درخواستی را به تابع آسیب‌پذیر ntzcrm_changepassword ارسال می‌کند. در این درخواست، ایمیل کاربر هدف و یک رمز عبور جدید (که توسط خود مهاجم تعیین شده) را وارد می‌کند. به دلیل نبود سازوکار امنیتی، سیستم این درخواست غیرمجاز را پذیرفته و رمز عبور کاربر را تغییر می‌دهد.

۴. در نهایت، مهاجم با استفاده از ایمیل کاربر و رمز عبور جدید، با موفقیت به عنوان آن کاربر وارد وب‌سایت شده و کنترل کامل حساب کاربری و وب‌سایت را در اختیار می‌گیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12153

🟠 Risk Level: HIGH (Score: 8.8)

📝 شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12153 در افزونه Featured Image via URL برای وردپرس شناسایی شده است. این آسیب‌پذیری از نوع آپلود فایل دلخواه (Arbitrary File Upload) بوده و به دلیل عدم وجود اعتبارسنجی صحیح برای نوع فایل‌های آپلود شده در تمامی نسخه‌ها تا نسخه 0.1 (و خود این نسخه) به وجود آمده است.

💥 میزان تأثیر:

این آسیب‌پذیری به یک مهاجم احرازهویت‌شده (با سطح دسترسی حداقل Contributor) اجازه می‌دهد تا فایل‌های دلخواه، مانند وب‌شل (Web Shell) یا اسکریپت‌های مخرب دیگر، را بر روی سرور سایت آسیب‌پذیر آپلود کند. موفقیت در بهره‌برداری از این ضعف امنیتی می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution) شده و در نهایت، کنترل کامل وب‌سایت، سرقت اطلاعات حساس و یا استفاده از سرور برای حملات بیشتر را برای مهاجم فراهم آورد.

🎭 سناریوی حمله:

۱. مهاجم با یک حساب کاربری با سطح دسترسی Contributor یا بالاتر وارد سایت وردپرسی هدف می‌شود.

۲. با استفاده از قابلیت آسیب‌پذیر افزونه، مهاجم به جای یک فایل تصویر، یک فایل مخرب با پسوند .php را برای آپلود انتخاب می‌کند.

۳. به دلیل نبود مکانیزم اعتبارسنجی، افزونه فایل مخرب را بدون بررسی نوع آن پذیرفته و بر روی سرور ذخیره می‌کند.

۴. در نهایت، مهاجم با دسترسی مستقیم به URL فایل آپلود شده، کد مخرب خود را بر روی سرور اجرا کرده و می‌تواند کنترل آن را به دست بگیرد.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12181

🟠 Risk Level: HIGH (Score: 8.8)

گزارش تحلیل آسیب‌پذیری: CVE-2025-12181

📜 توضیحات آسیب‌پذیری:
آسیب‌پذیری از نوع "آپلود فایل دلخواه" (Arbitrary File Upload) در افزونه ContentStudio برای وردپرس شناسایی شده است. این ضعف امنیتی در تمام نسخه‌های 1.3.7 و پایین‌تر وجود دارد.

منشأ این مشکل، عدم اعتبارسنجی صحیح نوع فایل در تابع cstu_update_post() است. این نقص به مهاجمان احرازهویت‌شده با سطح دسترسی "نویسنده" (Author) یا بالاتر اجازه می‌دهد تا فایل‌هایی با پسوندهای خطرناک (مانند .php) را بر روی سرور سایت هدف آپلود کنند.

💥 تأثیرات:
مهم‌ترین و خطرناک‌ترین پیامد این آسیب‌پذیری، امکان "اجرای کد از راه دور" (Remote Code Execution - RCE) است. با آپلود یک وب‌شل (Web Shell)، مهاجم می‌تواند کنترل کامل سرور را به دست بگیرد.

دیگر تأثیرات بالقوه عبارتند از:
- سرقت اطلاعات حساس کاربران و پایگاه داده
- تغییر ظاهر سایت (Defacement)
- استفاده از سرور برای حملات بیشتر (مانند حملات DDoS یا ارسال اسپم)
- از دسترس خارج شدن کامل وب‌سایت

🎭 سناریو حمله:
یک سناریوی محتمل برای بهره‌برداری از این آسیب‌پذیری به شرح زیر است:

۱. مهاجم از طریق روش‌هایی مانند فیشینگ یا حدس زدن رمز عبور ضعیف، به یک حساب کاربری با سطح دسترسی "نویسنده" در سایت وردپرسی دسترسی پیدا می‌کند.

۲. مهاجم وارد پیشخوان وردپرس شده و با استفاده از قابلیت‌های افزونه ContentStudio، یک فایل PHP مخرب (مثلاً با نام shell.php) را به جای یک فایل مجاز (مانند تصویر) آپلود می‌کند.

۳. به دلیل عدم وجود مکانیزم بررسی نوع فایل، افزونه این فایل مخرب را پذیرفته و بر روی سرور ذخیره می‌کند.

۴. در نهایت، مهاجم با دسترسی مستقیم به آدرس فایل آپلود شده در مرورگر (مثلاً: www.example.com/wp-content/uploads/shell.php)، کد مخرب را اجرا کرده و یک شل دستوری روی سرور به دست می‌آورد و کنترل کامل آن را در اختیار می‌گیرد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12374

🔴 Risk Level: CRITICAL (Score: 9.8)

✒️ توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12374 از نوع دور زدن احراز هویت (Authentication Bypass) در افزونه User Verification وردپرس شناسایی شده است. این ضعف امنیتی تمامی نسخه‌های افزونه تا نسخه 2.0.39 را تحت تأثیر قرار می‌دهد.

منشأ اصلی این آسیب‌پذیری، عدم اعتبارسنجی صحیح در تابع user_verification_form_wrap_process_otpLogin است. این تابع پیش از مقایسه رمز یک‌بار مصرف (OTP) وارد شده توسط کاربر، بررسی نمی‌کند که آیا اصلاً یک OTP معتبر برای آن کاربر تولید و ارسال شده است یا خیر. این نقص به یک مهاجم غیرمجاز اجازه می‌دهد تا با ارسال یک مقدار OTP خالی، فرآیند تأیید هویت را با موفقیت دور بزند.


💥 تأثیرات و پیامدها:

موفقیت در بهره‌برداری از این آسیب‌پذیری به یک مهاجم احراز هویت نشده اجازه می‌دهد تا به حساب کاربری هر فردی که دارای ایمیل تأیید شده در سیستم است، دسترسی پیدا کند.

خطرناک‌ترین پیامد این حمله، امکان ورود به حساب کاربری با سطح دسترسی مدیر کل (Administrator) است. در این حالت، مهاجم کنترل کامل وب‌سایت را به دست می‌آورد و می‌تواند اقداماتی مخرب مانند سرقت اطلاعات حساس کاربران، نصب بدافزار، تغییر محتوای سایت (Defacement) و یا حذف کامل اطلاعات را انجام دهد.


🎭 سناریوی حمله:

یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم یک وب‌سایت را که از نسخه آسیب‌پذیر افزونه استفاده می‌کند، شناسایی می‌کند.

۲. مهاجم ایمیل یا نام کاربری یک کاربر با سطح دسترسی بالا (مثلاً مدیر سایت) را که از قبل می‌داند یا حدس می‌زند، در فرم ورود وارد می‌کند.

۳. در مرحله بعد که سیستم درخواست وارد کردن رمز یک‌بار مصرف (OTP) را دارد، مهاجم فیلد مربوطه را به صورت خالی رها کرده و فرم را ارسال می‌کند.

۴. به دلیل وجود آسیب‌پذیری در منطق برنامه، سیستم این درخواست را به عنوان یک ورود موفقیت‌آمیز پردازش کرده و مهاجم به عنوان کاربر قربانی وارد پنل مدیریت وب‌سایت می‌شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12851

🟠 Risk Level: HIGH (Score: 8.1)

📝 توضیحات آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-12851 از نوع گنجاندن فایل محلی یا Local File Inclusion (LFI) در پلاگین وردپرسی My auctions allegro شناسایی شده است.

این ضعف امنیتی تمامی نسخه‌های این پلاگین تا نسخه 3.6.32 (و خود این نسخه) را تحت تاثیر قرار می‌دهد. مشکل اصلی در پارامتر controller نهفته است که به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد تا فایل‌های دلخواه موجود بر روی سرور را فراخوانی و محتوای آن‌ها را اجرا کنند.

💥 تاثیرات:

موفقیت در بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به نتایج خطرناکی شود، از جمله:

- اجرای کد از راه دور (RCE): اگر مهاجم بتواند فایلی حاوی کدهای PHP (حتی یک فایل تصویر دستکاری‌شده) را روی سرور آپلود کند، می‌تواند با فراخوانی آن از طریق این آسیب‌پذیری، کنترل کامل وب‌سایت را به دست بگیرد.

- سرقت اطلاعات حساس: مهاجم قادر به خواندن فایل‌های حساس سرور خواهد بود، مانند فایل wp-config.php که حاوی اطلاعات اتصال به پایگاه داده است، یا سایر فایل‌های سیستمی.

- دور زدن کنترل‌های دسترسی: این آسیب‌پذیری می‌تواند برای دور زدن مکانیزم‌های امنیتی و دسترسی به بخش‌های مدیریتی یا محدود شده استفاده شود.

🎭 سناریوی حمله:

یک مهاجم ابتدا یک وب‌سایت را که از نسخه آسیب‌پذیر پلاگین My auctions allegro استفاده می‌کند، شناسایی می‌کند.

در مرحله اول، مهاجم با ارسال یک درخواست دستکاری‌شده به پارامتر controller، سعی می‌کند یک فایل حساس مانند /etc/passwd را بخواند تا اطلاعاتی درباره کاربران سیستم‌عامل سرور به دست آورد.

در یک سناریوی پیشرفته‌تر، مهاجم ابتدا یک فایل به ظاهر بی‌خطر (مانند یک تصویر آواتار) که حاوی کدهای مخرب PHP است را در قسمتی از وب‌سایت آپلود می‌کند. سپس با استفاده از همین آسیب‌پذیری LFI، مسیر آن فایل آپلود شده را در پارامتر controller قرار داده و آن را فراخوانی می‌کند. این عمل باعث اجرای کدهای مخرب PHP و دستیابی به اجرای کد از راه دور (RCE) بر روی سرور هدف می‌شود.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-12879

🟠 Risk Level: HIGH (Score: 8.8)

تحلیل آسیب‌پذیری: CVE-2025-12879
افزونه وردپرس: User Generator and Importer

---

Vulnerability Description:
آسیب‌پذیری از نوع Cross-Site Request Forgery (CSRF) در افزونه User Generator and Importer برای وردپرس شناسایی شده است. این ضعف امنیتی نسخه‌های 1.2.2 و پایین‌تر را تحت تأثیر قرار می‌دهد. مشکل اصلی ناشی از عدم وجود اعتبارسنجی توکن‌های امنیتی (Nonce) در عملکرد "Import Using CSV File" است.

این نقص به مهاجمان اجازه می‌دهد تا درخواست‌های جعلی را از طرف یک مدیر احراز هویت شده به وب‌سایت ارسال کنند.

Impact:
مهاجم غیر احراز هویت شده می‌تواند با سوءاستفاده از این آسیب‌پذیری، یک حساب کاربری جدید با بالاترین سطح دسترسی (Administrator) بر روی وب‌سایت هدف ایجاد کند. این امر به معنای در اختیار گرفتن کامل کنترل وب‌سایت، دسترسی به تمام اطلاعات کاربران، و امکان اجرای کدهای مخرب بر روی سرور است.

به طور خلاصه، این آسیب‌پذیری می‌تواند منجر به تسخیر کامل وب‌سایت (Full Site Compromise) شود.

Scenario:
یک سناریوی حمله محتمل به شرح زیر است:

۱. مهاجم یک صفحه وب یا لینک مخرب را آماده می‌کند که حاوی یک فرم جعلی برای ارسال درخواست به تابع آسیب‌پذیر در افزونه است. این فرم دستور ایجاد یک کاربر جدید با نام کاربری و رمز عبور دلخواه و سطح دسترسی administrator را در خود جای داده است.

۲. مهاجم با استفاده از روش‌های مهندسی اجتماعی (مانند ارسال ایمیل فیشینگ یا پیام در شبکه‌های اجتماعی)، مدیر وب‌سایت را ترغیب می‌کند تا بر روی لینک مخرب کلیک کند.

۳. زمانی که مدیر (که در همان مرورگر به پنل مدیریت وردپرس خود وارد شده است) روی لینک کلیک می‌کند، مرورگر او به صورت خودکار و پنهانی، درخواست جعلی را به همراه کوکی‌های احراز هویت به وب‌سایت ارسال می‌کند.

۴. از آنجایی که افزونه فاقد مکانیزم دفاعی CSRF (بررسی Nonce) است، درخواست را معتبر تلقی کرده و یک حساب کاربری جدید با دسترسی کامل مدیر برای مهاجم ایجاد می‌کند، بدون اینکه مدیر وب‌سایت متوجه این فرآیند شود.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-65036

🟠 Risk Level: HIGH (Score: 8.3)

شرح آسیب‌پذیری:

آسیب‌پذیری با شناسه CVE-2025-65036 در افزونه Remote Macros پلتفرم XWiki شناسایی شده است. این افزونه که برای انتقال محتوا از Confluence به XWiki استفاده می‌شود، دارای یک نقص امنیتی حیاتی است.

نقطه ضعف اصلی در این است که ماکروی مربوطه، کدهای نوشته شده با زبان قالب (Template Language) به نام Velocity را بدون بررسی سطح دسترسی کاربر اجرا می‌کند. این بدان معناست که یک کاربر غیرمجاز می‌تواند با تزریق کد مخرب در صفحات جزئیات (details pages)، آن را بر روی سرور اجرا کند.

نسخه‌های تحت تاثیر: تمامی نسخه‌ها قبل از 1.27.1
نسخه اصلاح شده: 1.27.1

---

تاثیرات:

تاثیر اصلی این آسیب‌پذیری، اجرای کد از راه دور (Remote Code Execution - RCE) است. این آسیب‌پذیری به مهاجم اجازه می‌دهد تا دستورات دلخواه خود را بر روی سروری که XWiki روی آن میزبانی می‌شود، اجرا کند.

عواقب احتمالی این حمله عبارتند از:
- کنترل کامل سرور: مهاجم می‌تواند کنترل کامل سرور را در دست بگیرد.
- سرقت اطلاعات حساس: دسترسی به پایگاه داده، فایل‌های پیکربندی و اطلاعات محرمانه کاربران.
- نصب بدافزار: امکان نصب بدافزار، باج‌افزار یا ابزارهای جاسوسی بر روی سرور.
- حملات بعدی: استفاده از سرور قربانی به عنوان پایگاهی برای حمله به سایر سیستم‌ها در شبکه داخلی.

---

سناریوی حمله:

یک مهاجم می‌تواند از این آسیب‌پذیری به شرح زیر بهره‌برداری کند:

۱. ابتدا، مهاجم یک نمونه XWiki را که از نسخه آسیب‌پذیر افزونه Remote Macros استفاده می‌کند، شناسایی می‌کند.

۲. سپس، مهاجم (حتی با یک حساب کاربری با سطح دسترسی پایین یا به عنوان کاربر مهمان در صورت پیکربندی نادرست) یک صفحه جدید ایجاد کرده یا یک صفحه موجود را ویرایش می‌کند.

۳. در این صفحه، مهاجم یک ماکروی آسیب‌پذیر را قرار داده و در پارامترهای آن یا در صفحه جزئیات مرتبط با آن، یک قطعه کد Velocity مخرب تزریق می‌کند. این کد برای اجرای یک دستور سیستمی طراحی شده است. برای مثال، کدی که یک reverse shell به سرور مهاجم برقرار می‌کند.

۴. هنگامی که این صفحه توسط هر کاربری (یا خود مهاجم) مشاهده و رندر می‌شود، ماکروی آسیب‌پذیر بدون هیچ‌گونه بررسی امنیتی، کد Velocity تزریق شده را اجرا می‌کند.

۵. در نتیجه، دستور مخرب بر روی سرور با سطح دسترسی پروسه XWiki اجرا شده و مهاجم به سرور نفوذ می‌کند.
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal

🚨 New Vulnerability Alert: CVE-2025-66570

🔴 Risk Level: CRITICAL (Score: 10.0)

تحلیل آسیب‌پذیری CVE-2025-66570 در کتابخانه cpp-httplib

📝 توصیف آسیب‌پذیری:

یک آسیب‌پذیری از نوع تزریق هدر (Header Injection) در کتابخانه C++ به نام cpp-httplib (نسخه‌های قبل از 0.27.0) شناسایی شده است. مهاجم می‌تواند با ارسال هدرهای HTTP خاصی مانند REMOTE_ADDR، REMOTE_PORT، LOCAL_ADDR و LOCAL_PORT در درخواست خود، اطلاعات متادیتای سرور را دستکاری کند.

این مشکل زمانی رخ می‌دهد که کتابخانه ابتدا هدرهای ارسالی توسط مهاجم را پردازش کرده و سپس بدون حذف مقادیر تکراری، اطلاعات صحیح و داخلی خود را با همین نام‌ها به لیست هدرها اضافه می‌کند. از آنجایی که توابع مربوطه مانند get_header_value اولین مقدار پیدا شده برای یک هدر را برمی‌گردانند، مقدار جعلی تزریق شده توسط مهاجم به جای مقدار واقعی و معتبر سرور مورد استفاده قرار می‌گیرد. این تکنیک به Header Shadowing معروف است.

💥 تأثیرات:

این آسیب‌پذیری می‌تواند منجر به چندین تهدید امنیتی جدی شود:

🔸 جعل آدرس IP (IP Spoofing): مهاجم می‌تواند سرور را فریب دهد تا تصور کند درخواست از یک آدرس IP معتبر یا داخلی (مانند 127.0.0.1) ارسال شده است، در حالی که منبع واقعی درخواست جای دیگری است.

🔸 دور زدن مکانیزم‌های امنیتی (Authorization Bypass): اگر سیستم‌های کنترل دسترسی یا فایروال برنامه کاربردی (WAF) بر اساس آدرس IP کاربر تصمیم‌گیری کنند، مهاجم با جعل یک IP مجاز می‌تواند این محدودیت‌ها را دور بزند.

🔸 مسموم‌سازی لاگ‌ها (Log Poisoning): مهاجم می‌تواند اطلاعات نادرست و گمراه‌کننده را در لاگ‌های سرور ثبت کند. این کار تحلیل امنیتی و ردیابی فعالیت‌های مخرب را بسیار دشوار می‌سازد و ممکن است باعث پنهان ماندن حملات دیگر شود.

🎭 سناریو حمله:

فرض کنید یک وب اپلیکیشن با استفاده از نسخه آسیب‌پذیر cpp-httplib ساخته شده و یک پنل مدیریت دارد که دسترسی به آن فقط برای آدرس IP محلی (127.0.0.1) مجاز است.

1. مهاجم یک درخواست HTTP به سمت سرور ارسال می‌کند.
2. در این درخواست، هدر زیر را به صورت دستی اضافه می‌کند:
REMOTE_ADDR: 127.0.0.1
3. سرور درخواست را دریافت می‌کند. ابتدا هدر جعلی مهاجم را پردازش می‌کند و سپس آدرس IP واقعی مهاجم را (مثلاً 198.51.100.10) با همین نام هدر به لیست اضافه می‌کند.
4. اپلیکیشن برای بررسی دسترسی، آدرس IP کاربر را با تابع get_header_value("REMOTE_ADDR") استعلام می‌کند.
5. این تابع اولین مقدار، یعنی 127.0.0.1 را که توسط مهاجم تزریق شده، برمی‌گرداند.
6. در نتیجه، سیستم کنترل دسترسی تصور می‌کند که درخواست از یک منبع داخلی و معتبر آمده و به مهاجم اجازه ورود به پنل مدیریت را می‌دهد.

---
🔗 Our Channels:
🆔 @RedTeamAPT
🤖 @RedTeamAPT_bot
🚨 @RedTeamCVE
📡 @RedTeamSignal