CVE-2025-1337

چکیده

آسیب‌پذیری (XSS) Cross-Site Scripting از نوع ذخیره‌شده در کامپوننت BIC Search از محصول Eastnets PaymentSafe نسخه 2.5.26.0 شناسایی شده است این آسیب پذیری به مهاجمی با سطح دسترسی پایین اجازه می‌دهد کد مخرب جاوااسکریپت را در برنامه تزریق کند. در صورتی که سایر کاربران با داده آلوده تعامل داشته باشند، این ضعف می‌تواند منجر به ربایش نشست (Session Hijacking) و تصاحب حساب کاربری (Account Takeover) شود.

توضیحات

آسیب‌پذیری CVE-2025-1337 در کامپوننت BIC Search از محصول Eastnets PaymentSafe ناشی از XSS ذخیره‌شده مطابق با CWE-79 و تزریق کد (Code Injection) مطابق با CWE-94 است.

Eastnets PaymentSafe یک پلتفرم جامع پردازش پرداخت‌های مالی و هاب پیام‌رسانی بانکی است که برای بانک‌ها و مؤسسات مالی طراحی شده و قابلیت‌هایی نظیر اعتبارسنجی کد شناسایی بانک (BIC) ، کنترل‌های مبارزه با پول‌شویی (AML) و پردازش پیام‌های SWIFT را فراهم می‌کند.

این آسیب‌پذیری از نوع XSS ذخیره‌شده است و در کامپوننت جستجو و مدیریت BIC رخ می‌دهد؛ جایی که داده‌های ورودی کاربر بدون اعتبارسنجی مناسب ذخیره شده و در ادامه به سایر کاربران نمایش داده می‌شوند. در نتیجه، اسکریپت‌های تزریق‌شده می‌توانند در مرورگر سایرکاربران اجرا شوند.

این ضعف به‌سادگی قابل بهره‌برداری است؛ مهاجم، پس از ورود به برنامه با یک حساب کاربری معتبر (سطح دسترسی پایین)، می‌تواند در منوی Utilities به کامپوننت BIC Search مراجعه کرده و با ایجاد یا ویرایش ورودی، پیلود مخرب جاوااسکریپت مانند “＜img/src=”x” onmouseover=”confirm(document.domain)”＞” exact را تزریق کند. این پیلود در پایگاه داده ذخیره می‌شود و هنگام تعامل سایر کاربران با رکورد آلوده، در مرورگر آن‌ها اجرا خواهد شد. این حمله از طریق شبکه انجام می‌شود، نیازمند تعامل کاربر قربانی است و یکپارچگی داده‌ها را از طریق اجرای اسکریپت در زمینه کاربر قربانی تحت تأثیر قرار می‌دهد.

پیامدهای این آسیب‌پذیری می‌تواند شامل ربایش نشست (Session Hijacking)، سرقت کوکی‌های احراز هویت، اجرای حملات فیشینگ داخلی، سوءاستفاده از سطح دسترسی کاربران و در برخی سناریوها تصاحب کامل حساب کاربری (Account Takeover) باشد. با توجه به ماهیت سامانه و حساسیت محیط‌های بانکی، این پیامدها می‌توانند اثرات عملیاتی و امنیتی قابل‌توجهی به همراه داشته باشند. این آسیب‌پذیری با انتشار نسخه 2.5.27.0 به‌طور کامل پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Eastnets را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری در Eastnets PaymentSafe امکان تزریق و اجرای اسکریپت مخرب (XSS) توسط کاربر احراز هویت‌شده را فراهم می‌کند و می‌تواند منجر به ربایش نشست و تصاحب حساب کاربری شود. با توجه به انتشار پچ امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های PaymentSafe را به نسخه 2.5.27.0 یا بالاتر به روزرسانی کنید. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک XSS و حملات مشابه کمک می‌کنند.
• اعتبارسنجی ورودی و کدگذاری خروجی: ورودی‌های کاربر در کامپوننت BIC Search باید در سمت سرور اعتبارسنجی شوند و داده‌های ذخیره‌شده پیش از نمایش، با کدگذاری خروجی مناسب مانند HTML Entity Encoding پردازش گردند تا اجرای اسکریپت‌های مخرب مسدود شود.
• استفاده از هدرهای امنیتی: هدرهای HTTP مانند سیاست امنیتی محتوا (CSP) را برای محدود کردن اجرای اسکریپت‌های inline و خارجی فعال کنید.
• مانیتورینگ و ثبت لاگ: لاگ‌های اپلیکیشن را برای ورودی‌های مشکوک حاوی تگ‌های HTML/JS بررسی کنید و از ابزارهای تشخیص نفوذ (IDS) استفاده نمایید.
• آموزش کاربران و ادمین‌ها: کاربران را نسبت به ریسک XSS و اهمیت عدم تعامل با محتوای مشکوک آموزش دهید و اصل حداقل دسترسی را اعمال کنید.
• استفاده از فایروال اپلیکیشن وب: از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن پیلودهای XSS و جلوگیری از ارسال درخواست‌های مخرب استفاده نمایید.

اجرای این اقدامات، به‌ویژه به روزرسانی، تقویت اعتبارسنجی ورودی و کدگذاری خروجی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور قابل‌توجهی کاهش داده و سطح امنیت پلتفرم PaymentSafe را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

دسترسی اولیه از طریق حساب کاربری معتبر با سطح دسترسی پایین انجام می‌شود. مهاجم نیاز به اکسپلویت بیرونی یا بای‌پس احراز هویت ندارد و صرفاً از قابلیت‌های عادی برنامه (BIC Search) برای تزریق ورودی مخرب استفاده می‌کند.

Execution (TA0002)

اجرای کد از طریق Stored Cross-Site Scripting در مرورگر کاربر قربانی رخ می‌دهد. اسکریپت تزریق‌شده هنگام مشاهده یا تعامل کاربر دیگر با داده آلوده اجرا می‌شود و در context مرورگر قربانی عمل می‌کند.

Credential Access (TA0006)

از طریق اجرای JavaScript مخرب، امکان سرقت کوکی‌های نشست، توکن‌های احراز هویت یا داده‌های ذخیره‌شده در مرورگر وجود دارد. این مرحله پایه سناریوی Account Takeover است.

Collection (TA0009)

اسکریپت تزریق‌شده می‌تواند داده‌های حساس سمت کاربر مانند اطلاعات نشست، اطلاعات فرم‌ها یا تعاملات کاربر را جمع‌آوری کند. این جمع‌آوری بدون نیاز به تعامل خاص اضافه انجام می‌شود.

Privilege Escalation (TA0004)

در صورت سرقت نشست کاربر با سطح دسترسی بالاتر (ادمین یا اپراتور حساس)، مهاجم عملاً ارتقای سطح دسترسی عملیاتی پیدا می‌کند.

Defense Evasion (TA0005)

حمله از مسیر ورودی‌های معتبر اپلیکیشن انجام می‌شود و لاگ‌ها در نگاه اول طبیعی به نظر می‌رسند. اسکریپت‌ها در داده ذخیره شده‌اند و به‌سادگی از کنترل‌های سطحی عبور می‌کنند.

Impact (TA0040)

پیامد نهایی شامل Session Hijacking، Account Takeover، سوءاستفاده از دسترسی کاربران بانکی و کاهش اعتماد عملیاتی سامانه است. با توجه به ماهیت مالی PaymentSafe، اثر امنیتی می‌تواند فراتر از کاربر و منجر به ریسک سازمانی شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1337
2. https://www.cvedetails.com/cve/CVE-2025-1337/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1337
4. https://vuldb.com/?submit.493686
5. https://vuldb.com/?id.295953
6. https://vuldb.com/?ctiid.295953
7. https://nvd.nist.gov/vuln/detail/CVE-2025-1337
8. https://cwe.mitre.org/data/definitions/79.html
9. https://cwe.mitre.org/data/definitions/94.html