- شناسه CVE-2025-10221 :CVE
- CWE-532 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 10, 2025
- به روز شده: سپتامبر 10, 2025
- امتیاز: 5.5
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: نرم افزارهای شبکه و امنیت
- برند: AxxonSoft
- محصول: AxxonNet ARP Agent
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری با شدت متوسط در کامپوننت ARP Agent نرم افزار AxxonNet نسخههای 2.0.4 و پیش از آن روی سیستمعامل ویندوز شناسایی شده است. در صورتی که TRACE logging فعال باشد، فایلهای لاگ حاوی دادههایی در قالب JSON سریالسازیشده هستند که رمزهای عبور بهصورت متن ساده (plaintext) در آنها ثبت میشود؛ بنابراین یک مهاجم لوکال با خواندن این فایلهای لاگ میتواند رمزهای عبور را استخراج کند.
توضیحات
آسیبپذیری CVE-2025-10221 در کامپوننت ARP Agent (ایجنت مدیریت و نظارت بر فرآیندهای شبکه) نرمافزار AxxonNet رخ میدهد و مطابق با CWE-532 (درج اطلاعات حساس مانند رمزهای عبور در فایلهای لاگ) طبقهبندی میشود.
این ضعف امنیتی روی پلتفرم ویندوز، در نسخههای 0 تا 2.0.4 وجود دارد و زمانی رخ می دهد که TRACE logging (سطح لاگگیری دقیق برای دیباگ) فعال باشد؛ در این حالت، هنگام افزودن دامنه به AxxonNet Cloud، فرآیند arpagent.exe (اجرای ایجنت ARP) رمزهای عبور را در قالب متن ساده در پیلود JSON سریال سازی شده در فایلهای لاگ سیستم ثبت میکندکه این امر منجر به افشای اطلاعات احراز هویت و نقض حریم خصوصی میشود.
پیامد آن شامل تأثیر بالا بر محرمانگی با دسترسی به رمزهای عبور حساس است. بهرهبرداری از این ضعف بهصورت لوکال و با پیچیدگی پایین می باشد؛ کافی است مهاجم بهعنوان یک کاربر لوکال احراز هویتشده دسترسی خواندن به لاگها داشته باشد (بدون نیاز به تعامل اضافی). مهاجم میتواند با خواندن فایلهای TRACE، رمزهای عبور را استخراج کرده و از آنها در حملات زنجیرهای برای دسترسیهای بیشتر استفاده کند.
شرکت AxxonSoft سیستم لاگ TRACE را پچ کرده است تا فیلدهای رمز عبور را پنهان کند و تنها از encoded_password استفاده شود؛ این پچ در نسخههای 3.15.0 و بالاتر (بهویژه در AxxonCloud) اعمال شده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.5 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| 6.7 | MEDIUM | 4.0 | CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 0 through 2.0.4 | Windows | AxxonNet ARP Agent |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| Update to version 3.15.0 or later | Windows | AxxonNet ARP Agent |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که AxxonSoft را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 223 | site:.ir “AxxonSoft” | AxxonSoft |
نتیجه گیری
این آسیبپذیری با شدت متوسط در کامپوننت ARP Agent نرمافزار AxxonNet به دلیل درج رمزهای عبور به صورت متن ساده در فایلهای لاگ، امکان افشای اطلاعات احراز هویت لوکال را فراهم میکند و میتواند منجر به نقض حریم خصوصی و دسترسیهای غیرمجاز شود. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای جلوگیری از آسیبپذیری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: نرمافزار AxxonNet / Axxon One را به نسخه 3.15.0 یا بالاتر (به ویژه AxxonCloud) به روزرسانی کنید و مطمئن شوید که تمام Agentها و کامپوننتهای ARP بهروزرسانی شدهاند.
- غیرفعالسازی TRACE logging: در محیطهای عملیاتی، TRACE logging را غیرفعال کنید و تنها در موارد ضروری برای دیباگ موقت از آن استفاده نمایید. در حالت عادی از سطح پایینتر مانند INFO یا WARN بهره ببرید تا دادههای حساس ثبت نشوند.
- تغییر رمزهای عبور: اگر قبلاً TRACE logging فعال بوده، تمام رمزهای عبور و اطلاعات احراز هویت مرتبط را فوراً تغییر دهید و از ابزارهای مدیریت رمز عبور مانند password managers برای ایجاد رمزهای قوی بهره ببرید.
- بررسی و پاکسازی لاگها: فایلهای لاگ موجود را برای محتوای حساس اسکن و پاکسازی کنید؛ از ابزارهایی مانند Log Analyzer یا اسکریپتهای پاورشل در ویندوز برای جستجوی JSON حاوی رمزهای عبور استفاده نمایید.
- اعمال اصل حداقل دسترسی: مجوزهای دسترسی به فایلهای لاگ را محدود کنید تا فقط کاربران مجاز (مانند admins) بتوانند آنها را بخوانند؛ از Group Policy در ویندوز برای اعمال محدودیتهای NTFS بهره ببرید.
- نظارت بر لاگها: فعالیتهای مربوط به دسترسی و تغییر در فایلهای لاگ را بررسی کنید و از سامانههای SIEM برای شناسایی عملکردهای غیرعادی یا دسترسیهای مشکوک بهره ببرید.
- اسکن منظم: سیستمها را با ابزارهای اسکن آسیبپذیری مانند Nessus یا OpenVAS بررسی کنید و تستهای لوکال (با مجوز) برای تأیید عدم وجود لاگهای حساس انجام دهید.
- آموزش و آگاهی: تیمهای IT و QA را در مورد ریسکهای درج اطلاعات حساس در لاگها آگاه کنید و سیاستهای لاگگیری امن را بهروزرسانی نمایید.
اجرای این اقدامات، ریسک افشای رمزهای عبور را به حداقل رسانده و امنیت کلی AxxonNet ARP Agent را به طور قابل توجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Privilege Escalation (TA0004)
اگر اعتبارنامههای حساس مثلاً حسابهای سرویس یا admin در لاگها فاش شده باشند، مهاجم میتواند با استفاده از آنها سطح دسترسی خود را به سیستمها یا کنسول مدیریت AxxonNet ارتقا دهد و اقدامات مدیریتی انجام دهد؛ بنابراین این ضعف میتواند محرکی برای افزایش امتیازات در شبکه باشد.
Credential Access (TA0006)
افشای کلمات عبور بهصورت plaintext در فایلهای TRACE که خواندن آنها برای کاربر محلی ممکن است. استخراج این دادهها مستقیماً منجر به دسترسی به حسابها، سرویسها یا کنسولهای مدیریتی مرتبط میشود.
Lateral Movement (TA0008)
با اعتبارنامههای بهدستآمده، مهاجم قابلیت حرکت جانبی به سرورها و سرویسهای دیگر مثلاً کنسول AxxonCloud، سرورهای VMS، یا دیگر نودهای مدیریتی را خواهد داشت و میتواند دامنه نفوذ را در شبکه گسترش دهد.
Impact (TA0040)
پیامد اصلی محرمانگی است. افشای رمزهای عبور منجر به سرقت هویت، دسترسی غیرمجاز و در ادامه اختلال در یکپارچگی و در دسترسپذیری سرویسها میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10221
- https://www.cvedetails.com/cve/CVE-2025-10221/
- https://www.axxonsoft.com/legal/axxonsoft-vulnerability-disclosure-policy/security-advisories
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10221
- https://vuldb.com/?id.323498
- https://nvd.nist.gov/vuln/detail/CVE-2025-10221
- https://cwe.mitre.org/data/definitions/532.html
