- شناسه CVE-2025-0666 :CVE
- CWE-79 :CWE
- no :Advisory
- منتشر شده: می 7, 2025
- به روز شده: می 7, 2025
- امتیاز: 7
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: نرم افزارهای شبکه و امنیت
- برند: BOINC
- محصول: BOINC Server
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در BOINC Server تا نسخه 1.4.7 شناسایی شده است. این آسیبپذیری بخشی ناشناخته از نرمافزار را تحت تأثیر قرار میدهد و منجر به اجرای اسکریپت در سایت (XSS) میشود. این ضعف امنیتی با شناسه CVE-2025-0666 ثبت شده و قابلیت اجرا از راه دور را دارد.
توضیحات
طبق طبقهبندی CWE، این مشکل تحت شناسه CWE-79 قرار دارد. این بدان معناست که نرمافزار در پاکسازی یا خنثیسازی ورودیهایی که توسط کاربر قابل کنترل هستند، ناکام بوده و این ورودیها در خروجی صفحات وبی که به سایر کاربران نمایش داده میشود، گنجانده میشوند. این موضوع یک تهدید برای یکپارچگی (Integrity) سیستم محسوب میشود.
اکسپلویت این ضعف امنیتی آسان ارزیابی شده، قابلیت اجرا از راه دور دارد و برای سوءاستفاده از آن نیازی به احراز هویت کاربر نیست. تنها شرط موفقیت حمله این است که کاربر و قربانی با محتوای آلوده تعامل داشته باشد (مثلاً باز کردن یک صفحه خاص).
CVSS
| Score | Severity | Version | Vector String |
| 7.0 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:H/VA:L/SC:L/SI:L/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 through 1.4.7 | BOINC Server |
نتیجه گیری
در حال حاضر هیچ راهکار رسمی یا اطلاعاتی درباره روش مقابله با این آسیبپذیری اعلام نشده است. بهعنوان یک اقدام پیشنهادی، ممکن است توصیه شود که مؤلفه آسیبپذیر با یک محصول جایگزین امنتر تعویض شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0666
- https://www.cvedetails.com/cve/CVE-2025-0666/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0666
- https://vuldb.com/?id.307706
- https://nvd.nist.gov/vuln/detail/CVE-2025-0666
- https://cwe.mitre.org/data/definitions/79.html
- https://www.compass-security.com/fileadmin/Research/Advisories/2025_01_CSNC-2025-002_BOINC_multiple_XSS.txt
