CVE-2025-1732

چکیده

یک آسیب‌پذیری در سیستم‌عامل uOS فایروال‌های Zyxel USG FLEX H شناسایی شده است. این آسیب‌پذیری مربوط به عملکردی ناشناخته در بخش مدیریت فایل پیکربندی (Configuration File Handler) است. دست‌کاری در این بخش منجر به ایجاد مشکل در مدیریت سطح دسترسی می‌شود. این آسیب‌پذیری با شناسه CVE-2025-1732 ثبت شده است و حمله به آن نیازمند دسترسی محلی است.

توضیحات

آسیب‌پذیری مذکور بخشی ناشناخته از کد مدیریت فایل پیکربندی (Configuration File Handler) را تحت‌تأثیر قرار می‌دهد. دست‌کاری با ورودی‌ای ناشناخته منجر به آسیب‌پذیری در مدیریت سطح دسترسی می‌شود.

بر اساس استاندارد CWE-269، این مشکل زمانی رخ می‌دهد که یک محصول نتواند به‌درستی میزان سطح دسترسی (Privilege) را برای یک کاربر اختصاص دهد، اصلاح کند، پیگیری نماید یا بررسی کند؛ در نتیجه، کاربر ممکن است به بخش‌هایی از سیستم دسترسی پیدا کند که نباید به آن بخش دسترسی داشته باشد. این مشکل بر محرمانگی، یکپارچگی و در دسترس‌بودن سیستم تأثیر می گذارد .

این مشکل می‌تواند به مهاجمی محلی و تأییدشده با دسترسی مدیریتی اجازه دهد که یک فایل پیکربندی دست‌کاری‌شده را بارگذاری کرده و سطح دسترسی خود را در دستگاه آسیب‌پذیر افزایش دهد. اکسپلویت‌ این آسیب پذیری آسان است. حمله نیاز به دسترسی محلی و احراز هویت موفق دارد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

برای جلوگیری از نفوذ از نسخه بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1732
2. https://www.cvedetails.com/cve/CVE-2025-1732/
3. https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-incorrect-permission-assignment-and-improper-privilege-management-vulnerabilities-in-usg-flex-h-series-firewalls-04-22-2025
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1732
5. https://vuldb.com/?id.305849
6. https://nvd.nist.gov/vuln/detail/CVE-2025-1732
7. https://cwe.mitre.org/data/definitions/269.html