- شناسه CVE-2025-2414 :CVE
- CWE-307 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 2, 2025
- به روز شده: سپتامبر 2, 2025
- امتیاز: 8.6
- نوع حمله: Authentication Bypass
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: Akinsoft
- محصول: OctoCloud
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در نرمافزار OctoCloud شرکت Akinsoft ناشی از عدم محدودسازی مناسب در تعداد تلاشهای احراز هویت است و به مهاجمان اجازه میدهد مکانیزم رمز یکبارمصرف (OTP) را دور زده و بدون نیاز به احراز هویت، به سیستم دسترسی غیرمجاز پیدا کنند.
توضیحات
آسیبپذیری CVE-2025-2414 در نرمافزار OctoCloud شرکت Akinsoft ناشی از عدم محدودسازی مناسب تلاشهای مکرر برای احراز هویت (مطابق با CWE-307) است. این ضعف امنیتی به مهاجمان اجازه میدهد تا مکانیزم رمز یکبارمصرف (OTP) را دور زده و بدون نیاز به احراز هویت به سیستم دسترسی پیدا کنند.
این آسیبپذیری در نسخههای s1.09.03 تا پیش از v1.11.01 وجود دارد و با توجه به قابلیت بهرهبرداری از راه دور و بدون تعامل کاربر، دارای ریسک بالایی است. تأثیرات آن شامل نقض محرمانگی از طریق دسترسی غیرمجاز به دادههای حساس، تاثیر محدود بر یکپارچگی با امکان تغییر اطلاعات و احتمال ایجاد اختلال در دسترسپذیری سیستم است.
با توجه به اینکه OctoCloud بهعنوان یک نرمافزار پیشحسابداری مبتنی بر ابر در مدیریت فرآیندهای مالی و تجاری استفاده میشود، اهمیت اعمال سریع پچ این آسیبپذیری بسیار بالا است.
طبق اعلام TR-CERT، این آسیبپذیری با بهروزرسانی به نسخه v1.11.01 نرمافزار OctoCloud پچ می شود.
CVSS
| Score | Severity | Version | Vector String |
| 8.6 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from s1.09.03 before v1.11.01 | OctoCloud |
لیست محصولات بروز شده
| Versions | Product |
| v1.11.01 | OctoCloud |
نتیجه گیری
با توجه به اینکه این آسیبپذیری به مهاجمان اجازه میدهد رمز یکبارمصرف (OTP) را بدون نیاز به احراز هویت دور بزنند، امنیت حسابها و دادههای حساس در سیستمهای OctoCloud در معرض ریسک بالای نفوذ قرار دارد. بنابراین اجرای فوری اقدامات کاهش ریسک ضروری است. توصیههای کلیدی برای جلوگیری از سوءاستفاده عبارتند از:
- بهروزرسانی نرمافزار: به روزرسانی OctoCloud به نسخه 11.01 یا بالاتر که این آسیبپذیری در آن پچ شده است.
- محدودسازی تلاشهای احراز هویت: اعمال محدودیت بر تعداد تلاشها (Rate Limiting) و قفل خودکار حساب پس از چند تلاش ناموفق.
- فعالسازی مانیتورینگ و لاگگیری: ثبت و مانیتورینگ مداوم تلاشهای ناموفق ورود به سیستم برای شناسایی حملات احتمالی و واکنش سریع.
- استفاده از احراز هویت چندعاملی (MFA): فعال سازی MFA بهعنوان مکانیزم مکمل برای کاهش اثر دور زدن OTP.
- آموزش کاربران و مدیران سیستم: افزایش آگاهی برای شناسایی و گزارش عملکردهای مشکوک.
- کنترل دسترسی مدیریتی: محدود کردن دسترسیهای پر ریسک به حسابهای حساس و اعمال نقشهای کاربری دقیق.
اجرای همزمان این اقدامات، ریسک بهرهبرداری موفق را به حداقل میرساند و امنیت سیستمهای مبتنی بر OctoCloud را تضمین میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
T0866 – Exploit Public-Facing Application
مهاجم با سوءاستفاده از آسیبپذیری دور زدن OTP در نرمافزار OctoCloud که یک برنامه کاربردی تحت وب است، میتواند بدون نیاز به احراز هویت به سیستم دسترسی پیدا کند.
Persistence (TA0003)
T1078 – Valid Accounts
مهاجم ممکن است با ایجاد یا سوء استفاده از حسابهای کاربری معتبر در سیستم، دسترسی مداوم به سیستم را حفظ کند.
Credential Access (TA0006)
T1110 – Brute Force
عدم محدودیت در تلاشهای احراز هویت باعث میشود مهاجم بتواند با روش حملات تکراری (brute force) به رمز یکبارمصرف دست پیدا کند یا آن را دور بزند.
Impact (TA0040)
T1499 – Endpoint Denial of Service
با دسترسی غیرمجاز، مهاجم میتواند باعث اختلال در سرویسدهی نرمافزار شده یا دادههای حساس را تغییر دهد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-2414
- https://www.cvedetails.com/cve/CVE-2025-2414/
- https://www.usom.gov.tr/bildirim/tr-25-0203
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-2414
- https://vuldb.com/?id.322172
- https://nvd.nist.gov/vuln/detail/CVE-2025-2414
- https://cwe.mitre.org/data/definitions/307.html
