- شناسه CVE-2025-0667 :CVE
- CWE-79 :CWE
- no :Advisory
- منتشر شده: می 7, 2025
- به روز شده: می 7, 2025
- امتیاز: 8.7
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: نرم افزارهای شبکه و امنیت
- برند: BOINC
- محصول: BOINC Server
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در BOINC Server تا نسخه 1.4.7 شناسایی شده است. این آسیبپذیری مربوط به بخشی نامشخص از کد نرمافزار است و منجر به حملهی XSS (اجرای کد مخرب در سایت) میشود. این ضعف امنیتی با شناسه CVE-2025-0667 شناخته میشود و میتوان آن را از راه دور اجرا کرد.
توضیحات
بر اساس طبقهبندی CWE، این آسیبپذیری تحت CWE-79 قرار میگیرد. یعنی نرمافزار نتوانسته ورودیهایی را که توسط کاربر قابل کنترل هستند، به درستی خنثیسازی یا پاکسازی کند، و این ورودیها در خروجی صفحات وبی که برای سایر کاربران نمایش داده میشوند، گنجانده میشوند. این آسیبپذیری بر یکپارچگی (Integrity) اطلاعات تأثیرگذار است.
اکسپلویت این آسیبپذیری آسان ارزیابی شده، قابل اجرا از راه دور است و نیازی به احراز هویت ندارد، اما نیازمند نوعی تعامل از سوی قربانی (مانند باز کردن یک صفحه) است.
CVSS
| Score | Severity | Version | Vector String |
| 8.7 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:L/SI:L/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 through 1.4.7 | BOINC Server |
نتیجه گیری
در حال حاضر هیچ راهکار یا توصیهی مشخصی برای مقابله با این آسیبپذیری ارائه نشده است. پیشنهاد میشود در صورت امکان، مؤلفه آسیبدیده با یک محصول جایگزین امنتر تعویض شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0667
- https://www.cvedetails.com/cve/CVE-2025-0667/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0667
- https://vuldb.com/?id.307707
- https://nvd.nist.gov/vuln/detail/CVE-2025-0667
- https://cwe.mitre.org/data/definitions/79.html
- https://www.compass-security.com/fileadmin/Research/Advisories/2025_02_CSNC-2025-003_BOINC_stored_XSS.txt
