خانه » CVE-2025-26210
هشدار‌های سایبری

CVE-2025-26210

Cross-Site Scripting Vulnerability in DeepSeek R1 Through V3.1 Enables Remote Code Execution

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 7 بازدید
هشدار سایبری CVE-2025-26210
  • شناسه CVE-2025-26210 :CVE
  • CWE-79 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 3, 2025
  • به روز شده: سپتامبر 5, 2025
  • امتیاز: 8.8
  • نوع حمله: Cross Site Scripting (XSS)
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: نرم افزارهای کاربردی
  • برند: DeepSeek
  • محصول: DeepSeek AI platform
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در پلتفرم DeepSeek AI، از نسخه‌های R1 تا V3.1، ناشی از خنثی‌سازی ناکافی ورودی‌ها است و امکان اجرای اسکریپت‌های مخرب (XSS) در دامنه run-html-chat.deepseeksvc.com را فراهم می‌کند. این ضعف به مهاجمان اجازه می‌دهد کد جاوااسکریپت دلخواه اجرا کرده، داده‌های حساس کاربران را سرقت کنند و در موارد شدید کنترل بخشی از سیستم را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-26210 در پلتفرم DeepSeek AI، از نسخه‌های R1 تا V3.1، ناشی از عدم خنثی‌سازی مناسب ورودی‌ها در فرآیند تولید صفحات وب (مطابق با CWE-79) است که امکان اجرای اسکریپت‌های مخرب (XSS) را در دامنه run-html-chat.deepseeksvc.com فراهم می‌کند.

این آسیب پذیری، با شدت بالا ارزیابی شده و به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد از طریق تزریق کد جاوااسکریپت مخرب در ورودی‌های وب‌سایت تولیدشده توسط هوش مصنوعی کد دلخواه جاوااسکریپت را روی مرورگر قربانی اجرا کنند.

کد اثبات مفهوم (PoC) منتشر‌شده در HackMD و ویدئوی یوتیوب نشان می‌دهد که مهاجمان می‌توانند با درخواست از DeepSeek برای ایجاد یک صفحه وب ناامن حاوی تابع ()eval، مانند نمونه‌ای با ورودی متنی که کد جاوااسکریپت مانند alert(‘Hacked!’) را اجرا می‌کند یا با آپلود و اجرای فایل‌های حاوی کد مخرب جاوااسکریپت در سرور دامنه ذکر شده، از این ضعف بهره‌برداری کنند. این آسیب‌پذیری همچنین امکان سرقت کوکی‌های نشست، اطلاعات مرورگر مانند userAgent، سیستم‌عامل و زبان، اطلاعات سخت‌افزاری شامل تعداد هسته های CPU، میزان حافظه و حتی داده‌های باتری را از طریق درخواست‌های POST به سرورهای کنترل‌شده توسط مهاجم فراهم می‌کند.

علاوه براین، مهاجمان می‌توانند داده‌هایی مانند ساختار DOM (Document Object Model) صفحات وب، متغیرهای جهانی مرورگر و اطلاعات عملکرد صفحه را استخراج کنند. این داده ها ممکن است برای حملات بعدی مانند سرقت نشست یا جاسوسی کاربران مورد استفاده قرار گیرد.

هرچند برخی طرف‌های ثالث معتقدند که امکان اجرای کد جاوااسکریپت بخشی از عملکرد پلتفرم برای آزمایش و توسعه است، اما عدم کنترل‌های امنیتی کافی مانند خنثی‌سازی ورودی‌ها و محدود کردن استفاده از ()eval، ریسک سوءاستفاده در محیط‌های عمومی را به شدت افزایش می‌دهد. تاکنون هیچ پچ امنیتی برای این آسیب‌پذیری منتشر نشده و حتی در نسخه‌ی اخیر DeepSeek V3.1 (به‌روزرسانی شده در سپتامبر 2025)، آسیب‌پذیری XSS همچنان وجود دارد. بحث‌های مرتبط در GitHub نشان می‌دهند که نگرانی‌ها درباره امنیت پلتفرم ادامه دارد.

CVSS

Score Severity Version Vector String
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

 لیست محصولات آسیب پذیر

Versions Product
R1 through V3.1 DeepSeek AI platform

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که DeepSeek AI را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
4,720 DeepSeek AI

 نتیجه گیری

با توجه به ماهیت آسیب‌پذیری XSS در پلتفرم DeepSeek AI و توانایی مهاجمان برای اجرای کد جاوااسکریپت دلخواه، سرقت داده‌های حساس کاربران و عدم انتشار پچ رسمی، اقدامات فوری زیر برای کاهش ریسک توصیه می‌شود:

  • محدودسازی دسترسی به محیط‌های تولید: اطمینان حاصل شود که قابلیت ایجاد صفحات وب توسط هوش مصنوعی محدود به محیط‌های امن و داخلی باشد و دسترسی عمومی به صفحات ناامن وجود نداشته باشد.
  • خنثی‌سازی و اعتبارسنجی ورودی‌ها: تمام داده‌های ورودی که به صفحات وب تزریق می‌شوند، باید به‌طور کامل خنثی‌سازی و اعتبارسنجی شوند تا از اجرای کد جاوااسکریپت مخرب جلوگیری شود.
  • محدود کردن استفاده از ()eval و کد داینامیک: استفاده از توابعی مانند ()eval که امکان اجرای کد داینامیک جاوااسکریپت را فراهم می‌کنند باید محدود یا با روش‌های امن‌تر جایگرین شود.
  • پیاده‌سازی سیاست‌های امنیت محتوا (CSP): استفاده از CSP برای محدود کردن منابع قابل اجرا و کاهش احتمال بهره‌برداری از XSS.
  • مانیتورینگ و لاگ‌گیری: نظارت مستمر بر صفحات تولیدشده، درخواست‌ها و عملکردهای غیرمعمول کاربران برای شناسایی تلاش‌های سوءاستفاده.
  • آموزش و آگاهی کاربران: کاربران و توسعه‌دهندگان باید نسبت به ریسک‌های XSS و خطرات اجرای کد مخرب آگاه باشند و بهترین شیوه‌های امنیتی را رعایت کنند.

اجرای این اقدامات می‌تواند ریسک سوءاستفاده از این آسیب پذیری در DeepSeek AI را به حداقل برساند و امنیت، محرمانگی و یکپارچگی داده‌ها را در محیط‌های تحت تاثیر افزایش دهد.

امکان استفاده در تاکتیک های Mitre Attack (برای سازمان ها)

  • Execution (TA0002)
    اجرای کد جاوااسکریپت مخرب در مرورگر کاربر رخ می‌دهد و مهاجم می‌تواند توابع سمت کلاینت را اجرا کند، مانند سرقت کوکی‌ها، اطلاعات مرورگر و سخت‌افزار، یا دستکاری DOM صفحات وب.
  • Credential Access (TA0006)
    با اجرای XSS، مهاجم می‌تواند به کوکی‌های نشست، اطلاعات احراز هویت و داده‌های ذخیره‌شده در مرورگر دسترسی پیدا کند.
  • Collection (TA0009)
    جمع‌آوری داده‌های حساس از مرورگر کاربر شامل کوکی‌ها، userAgent، سیستم‌عامل، زبان و اطلاعات سخت‌افزاری مانند تعداد هسته CPU و میزان حافظه امکان‌پذیر است.
  • Exfiltration (TA0010)
    داده‌های جمع‌آوری‌شده از مرورگر کاربر می‌توانند از طریق درخواست‌های POST به سرورهای مهاجم منتقل شوند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-26210
  2. https://www.cvedetails.com/cve/CVE-2025-26210/
  3. https://hackmd.io/@MrqrFIlhQFi7vUwkqbrXDw/deepseek
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26210
  5. https://vuldb.com/?id.322354
  6. https://youtu.be/IgQwy52FVT4
  7. https://nvd.nist.gov/vuln/detail/CVE-2025-26210
  8. https://cwe.mitre.org/data/definitions/79.html

همچنین ممکن است دوست داشته باشید

CVE-2025-36854

CVE-2025-57052

CVE-2025-57833

CVE-2025-9990

CVE-2025-58819

CVE-2025-58848

CVE-2025-38737

CVE-2025-39721

CVE-2025-58843

CVE-2025-10061

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.