- شناسه CVE-2025-20357 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: اکتبر 1, 2025
- به روز شده: اکتبر 1, 2025
- امتیاز: 5.4
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Information Disclosure
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Cisco
- محصول: Cisco Cyber Vision
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری XSS ذخیره شده در رابط مدیریتی تحت وب Cisco Cyber Vision Center نسخههای 5.1.0 تا 5.2.1 شناسایی شده است. در این ضعف، کاربری که وارد سیستم شده و به صفحه Reports دسترسی دارد، میتواند کد جاوااسکریپت مخرب را درج کند؛ این کد در مرورگر سایر کاربران اجرا شده و میتواند منجر به افشای دادههای حساس مرورگر یا دستکاری رابط کاربری شود.
توضیحات
آسیبپذیری CVE-2025-20357 از نوع XSS ذخیره شده در رابط مدیریتی تحت وب Cisco Cyber Vision Center (ابزاری برای نظارت و مدیریت امنیت شبکههای صنعتی) شناسایی شده است. این ضعف ناشی از اعتبارسنجی ناکافی ورودیهای کاربر در صفحه Reports است و مطابق با CWE-79 طبقهبندی میشود.
این ضعف امنیتی به کاربر احراز هویتشده (مانند کاربران با نقش Admin، Product یا هر نقش سفارشی با مجوز Reports) اجازه میدهد کد جاوااسکریپت مخرب را در ورودیهای خاص درج کند. این کد زمانی که سایر کاربران (مثلاً مدیران یا اپراتورها) صفحه Reports را مشاهده میکنند در مرورگر آنها اجرا شده و میتواند منجر به افشای اطلاعات حساس مرورگر (مثل کوکیها یا توکنهای نشست) یا دستکاری رابط کاربری شود. بهطور پیشفرض بیشتر نقشهای از پیش تعریفشده به صفحه Reports دسترسی دارند؛ بنابراین دسترسی لازم برای بهرهبرداری در بسیاری از استقرارها موجود است.
از منظر عملیاتی، بخش تزریق و توزیع پیلودها را میتوان خودکارسازی کرد، اما اجرای نهایی پیلود در مرورگر قربانی معمولاً مستلزم کلیک یا بارگذاری صفحه توسط آن کاربر است. پیامدهای این آسیب پذیری شامل نقض محدود محرمانگی با امکان افشای دادههای حساس و یکپارچگی با دستکاری محتوای رابط کاربری است. سیسکو آسیب پذیری مذکور را در نسخه 5.3 Cyber Vision Center پچ کرده و توصیه میکند کاربران فوراً بهروزرسانی کنند.
CVSS
| Score | Severity | Version | Vector String |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 5.1.0
affected at 5.1.1 affected at 5.1.2 affected at 5.1.3 affected at 5.2.0 affected at 5.2.1 |
Cisco Cyber Vision |
لیست محصولات بروز شده
| Versions | Product |
| 5.3 | Cisco Cyber Vision |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Cisco Cyber Vision را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 474 | site:.ir “Cisco Cyber Vision” | Cisco Cyber Vision |
نتیجه گیری
این آسیبپذیری با شدت متوسط در Cisco Cyber Vision Center، امکان اجرای کد جاوااسکریپت مخرب در مرورگر کاربران را فراهم میکند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک و افزایش امنیت ضروری است:
- بهروزرسانی فوری: Cisco Cyber Vision Center را به نسخه 5.3 به روزرسانی کنید. بهروزرسانیها را از وبسایت رسمی سیسکو یا پورتال پشتیبانی دانلود کنید.
- محدودسازی دسترسی: دسترسی به صفحه Reports را محدود به کاربران مورد اعتماد کنید و نقشهای کاربری (مانند Admin یا Product) را با استفاده از RBAC بازبینی کنید.
- نظارت و ثبت لاگ (logging): لاگهای رابط وب را برای شناسایی فعالیتهای مشکوک (مانند تزریق پیلودهای غیرعادی) بررسی کنید
- ایزولهسازی محیط: Cyber Vision Center را در شبکههای صنعتی تقسیم بندی شده اجرا کرده و دسترسیهای خارجی را با فایروال یا VPN محدود کنید.
- تست و اسکن امنیتی: سیستم را با ابزارهای اسکن XSS بررسی کنید و تست نفوذ برای صفحه Reports انجام دهید.
- آموزش کاربران: کاربران و مدیران را در ریسک خطرات XSS و اهمیت جلوگیری از تعامل با محتوای مشکوک در رابط وب آموزش دهید.
اجرای این اقدامات، ریسک ناشی از این آسیب پذیری را به حداقل رسانده و امنیت Cisco Cyber Vision Center را بهبود میبخشد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access — TA0001
کاربر احراز هویتشدهای که به صفحه Reports دسترسی دارد میتواند پیلود جاوااسکریپت را ذخیره کند؛ وقتی کاربر هدف (مثلاً مدیر یا اپراتور) صفحه را باز میکند، اسکریپت در مرورگر او اجرا شده و مهاجم دسترسی سمتکلاینتی کسب میکند.
Credential Access — TA0006
اسکریپت اجراشده میتواند کوکیها، توکنهای سشن یا مقادیر ذخیرهشده در local/session storage را بخواند و به سروری تحت کنترل مهاجم ارسال کند؛ در نتیجه هویت کاربر قابل جعل یا بازیابی میشود.
Discovery — TA0007
کد مخرب میتواند درخواستهای cross-origin به API های داخلی یا صفحات مدیریتی بفرستد و بدینترتیب ساختار سرویسها و نقاط ضعف داخلی را برای برنامهریزی حملات بعدی کشف کند.
Privilege Escalation — TA0004
با استفاده از توکنها یا سشنهای دزدیدهشده مهاجم قادر است خود را بهعنوان کاربری با امتیاز بالاتر جا بزند و عملیات مدیریتی یا تنظیمات را اجرا کند؛ تبدیل یک رخنهی سطح پایین به کنترل گستردهتر.
Collection — TA0009
اسکریپت میتواند محتوای صفحه (نتایج نمایششده، لاگهای نمایشی، فیلدهای حساس) را استخراج کرده و آن را تجمیع کند
Exfiltration — TA0010
دادههای استخراجشده از طریق درخواستهای HTTP ساده، image beacon یا کانالهای جانبی مثلاً DNS به خارج فرستاده میشوند
Defense Evasion — TA0005
مهاجم پیلودها را ابسکوره میکند، رفتار درخواستها را پراکنده یا شبیه ترافیک مشروع میسازد و از اجرای کد در مرورگر قربانی استفاده میکند تا منبع اصلی حمله را پنهان کند و قواعد مبتنی بر امضا را دور بزند.
Lateral Movement — TA0008
در صورت بهدست آمدن credential یا توکن، مهاجم میتواند به API ها و سرویسهای داخلی دسترسی یابد و با آنها حرکت جانبی انجام دهد؛ این مسیر امکان گسترش دامنه نفوذ را فراهم میکند.
Impact — TA0040
تاثیر نهایی میتواند شامل افشای سشنها و دادههای حساس، دستکاری رابط یا تنظیمات و در سناریوهای ترکیبی اختلال سرویس باشد؛ پیامدهای تجاری، قانونی و عملیاتی بهسرعت فعال خواهند شد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-20357
- https://www.cvedetails.com/cve/CVE-2025-20357/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cv-xss-rwRAKAJ9
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-20357
- https://vuldb.com/?id.326645
- https://nvd.nist.gov/vuln/detail/CVE-2025-20357
- https://cwe.mitre.org/data/definitions/79.html
