خانه » CVE-2025-24914
هشدار‌های سایبری

CVE-2025-24914

افزایش سطح دسترسی در ویندوز از طریق نصب Nessus

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-24914 :CVE
  • CWE-276 :CWE
  • yes :Advisory
  • منتشر شده: آوریل 18, 2025
  • به روز شده: آوریل 18, 2025
  • امتیاز: 7.8
  • نوع حمله: Default Permissions
  • اثر گذاری: Privilege Escalation
  • حوزه: تجهیزات شبکه و امنیت
  • برند: Tenda
  • محصول: Nessus
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری در نرم‌افزار Tenable Nessus تا نسخه 10.8.3 شناسایی‌شده است. این آسیب‌پذیری مربوط به یک عملکرد ناشناخته در برنامه است. مشکل به تنظیمات نادرست سطح دسترسی (permissions) برمی‌گردد. این آسیب‌پذیری با شناسه CVE-2025-24914 شناخته می‌شود و فقط از طریق دسترسی محلی قابل اکسپلویت است. پیشنهاد می‌شود که نرم‌افزار را به نسخه جدید ارتقا دهید.

توضیحات

این آسیب‌پذیری در Nessus تا نسخه 10.8.3 وجود دارد. با ورودی خاصی، نرم‌افزار دچار مشکلی در تنظیم دسترسی‌ها می‌شود و به‌صورت پیش‌فرض، سطح دسترسی ناامن برای فایل‌ها تنظیم می‌کند.

بر اساس طبقه‌بندی CWE، این مشکل در دسته CWE-276 تنظیمات نادرست دسترسی پیش‌فرض قرار می‌گیرد. هنگام نصب Nessus، سطح دسترسی فایل‌ها به‌گونه‌ای تنظیم می‌شود که همه کاربران می‌توانند آن‌ها را تغییر دهند. این موضوع می‌تواند منجر به خطر افتادن محرمانگی، یکپارچگی و دسترسی‌پذیری سیستم شود.

زمانی که Nessus روی ویندوز و در مسیری غیر از مسیر پیش‌فرض نصب می‌شود، در نسخه‌های قبل از 10.8.4 سطح دسترسی امن برای پوشه‌های داخلی را اعمال نمی‌کند. اگر کاربر آن پوشه‌ها را خودش ایمن نکرده باشد، ممکن است مهاجم بتواند سطح دسترسی خود را افزایش دهد.

اکسپلویت این آسیب‌پذیری آسان در نظر گرفته‌شده، اما نیازمند دسترسی محلی و احراز هویت است. MITRE ATT&CK این آسیب‌پذیری را با تکنیک T1222 (تغییر مجوز فایل یا دایرکتوری) بیان کرده است.

CVSS

Score Severity Version Vector String
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب‌پذیر

Versions Platforms Product 
affected from 0 before 10.8.4 Windows Nessus

لیست محصولات بروز شده

Versions Platforms Product
10.8.4 Windows Nessus

نتیجه‌گیری

به‌روزرسانی به نسخه 10.8.4 این آسیب‌پذیری را برطرف می‌کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-24914
  2. https://www.cvedetails.com/cve/CVE-2025-24914/
  3. https://www.tenable.com/security/tns-2025-05
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24914
  5. https://vuldb.com/?id.305705
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-24914
  7. https://cwe.mitre.org/data/definitions/276.html

همچنین ممکن است دوست داشته باشید

CVE-2025-28038

CVE-2025-28039

CVE-2025-23249

CVE-2025-23250

CVE-2025-23251

CVE-2025-0618

CVE-2025-46252

CVE-2025-29743

CVE-2025-28031

CVE-2025-32792

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.