- شناسه CVE-2025-26392 :CVE
- CWE-89 :CWE
- yes :Advisory
- منتشر شده: اکتبر 21, 2025
- به روز شده: اکتبر 21, 2025
- امتیاز: 5.4
- نوع حمله: SQL Injection
- اثر گذاری: Information Disclosure
- حوزه: سرورهای اپلیکیشن
- برند: SolarWinds
- محصول: Observability Self-Hosted
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تزریق SQL در Observability Self-Hosted که روی ویندوز اجرا میشود، به مهاجمان احراز هویتشده با دسترسی محدود اجازه میدهد از طریق شبکه مجاور به داده های حساس دسترسی پیدا کنند.
توضیحات
آسیبپذیری CVE-2025-26392 در محصول SolarWinds Observability Self-Hosted نسخههای 2025.2.1 و پایینتر شناسایی شده است. این ضعف ناشی از خنثیسازی نادرست المنت های خاص در دستورات SQL است و مطابق با CWE-89 طبقهبندی میشود. به عبارت دیگر، مهاجم احراز هویتشده با دسترسی محدود میتواند با ارسال ورودیهای مخرب به رابط وب، کوئریهای SQL را دستکاری کند و دادههای پایگاه داده را استخراج کرده یا تغییر دهد.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با استفاده از اسکریپتهای پایتون یا ابزارهای تزریق SQL مانند SQLMap، از شبکه مجاور (Adjacent) و بدون تعامل کاربر، پیلودهای مخرب را از طریق درخواستهای HTTP به سرور ارسال کند. در نتیجه، امکان افشای دادههای حساس شامل تنظیمات مانیتورینگ، لاگها و اطلاعات کاربران وجود دارد.
پیامدهای این آسیبپذیری شامل نقض محرمانگی با افشای دادههای حساس سیستم و یکپارچگی با امکان تغییر رکوردهای پایگاه داده است. SolarWinds در نسخه 2025.4 این ضعف را پچ کرده و توصیه میکند فوراً بهروزرسانی اعمال شود.
CVSS
| Score | Severity | Version | Vector String |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected at 2025.2.1 and below | Windows | Observability Self-Hosted |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 2025.4 | Windows | Observability Self-Hosted |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که SolarWinds را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 15,800 | site:.ir “SolarWinds” | SolarWinds |
نتیجه گیری
این آسیبپذیری با شدت متوسط در SolarWinds Observability Self-Hosted، از طریق تزریق SQL امکان افشا و دستکاری دادهها را حتی با دسترسی محدود فراهم میکند و میتواند منجر به نقض امنیت اطلاعات مانیتورینگ شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: تمامی نصبهای Observability Self-Hosted را از طریق پورتال مشتریان SolarWinds (SolarWinds Customer Portal) به نسخه 2025.4 به روزرسانی کنید.
- راهکارهای کاهش ریسک (Mitigations): ورودیهای کاربر در رابط وب را با Prepared Statements (کوئری های آمادی) یا ORM فیلتر کنید، از فایروال اپلیکیشن وب (WAF) برای تشخیص پیلودهای SQL Injection استفاده کنید و دسترسی حسابهای با سطح محدود را با RBAC کنترل نمایید.
- محدودسازی دسترسی: اصل حداقل دسترسی (Least Privilege) را برای حسابها اعمال کنید، احراز هویت دو مرحلهای (2FA) را فعال کرده و دسترسی به پایگاه داده را با فایروال پایگاه داده محدود کنید. برای سرورها از شبکه های جداگانه (Network Segmentation) و VPN استفاده نمایید.
- نظارت بر لاگها: لاگهای وب و SQL را با ابزارهایی مانند ELK Stack یا Splunk مانیتور کرده و از سیستمهای SIEM برای شناسایی تلاشهای تزریق SQL استفاده کنید.
- ایزولهسازی محیط: سرورهای مربوط به Observability را در شبکههای جداگانه قرار دهید، از مجازیسازی مانند VMware باNSX برای ایزوله کردن ترافیک استفاده کنید و رابط وب را در محیطهای DMZ اجرا نمایید.
- اسکن و تست امنیتی: سیستم را با ابزارهایی مانند Nessus یا Acunetix برای شناسایی آسیبپذیریهای وب بررسی کنید و تستهای نفوذ روی سناریوهای SQL Injection انجام دهید.
- آموزش: کاربران و مدیران را در مورد ریسکهای تزریق SQL، اهمیت بهروزرسانیهای امنیتی و تشخیص درخواستهای مشکوک آموزش دهید.
اجرای این اقدامات، ریسک افشای اطلاعات حساس و حملات تزریق SQL را به حداقل میرساند و امنیت نصبهای SolarWinds Observability Self-Hosted را در برابر تهدیدات مرتبط با پایگاه داده تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم با دسترسی شبکهای مجاور (Adjacent) و با استفاده از حساب کاربری کمامتیاز یا از طریق ورودیهای قابلدسترسی در رابط وب Observability میتواند ورودیهای SQL را دستکاری کند و نقطهورودی برای نفوذ را ایجاد نماید
Persistence (TA0003)
مهاجم پس از موفقیت میتواند رکوردهای پایگاهداده یا تنظیمات سرویس را تغییر داده و پایداری دسترسی مثلاً با اضافه کردن user accounts یا تغییر config ها برقرار کند
Privilege Escalation (TA0004)
تزریق SQL میتواند به استخراج اطلاعات حسابهای با سطح بالاتر یا credentialهای ذخیرهشده منجر شود که مهاجم را قادر به افزایش امتیازات میسازد
Defense Evasion (TA0005)
مهاجم ممکن است لاگها یا رکوردهای audit را دستکاری کند تا شواهد حمله را پنهان کند
Credential Access (TA0006)
با تزریق SQL میتوان اطلاعات پیکربندی، توکنها یا hash های رمز عبور را استخراج کرد
Discovery (TA0007)
مهاجم پس از نفوذ ساختار دیتابیس، جداول حساس، و endpoint های داخلی را شناسایی میکند تا برد حمله را تعیین کند
Lateral Movement (TA0008)
با اطلاعات و credentialهای بهدستآمده مهاجم میتواند از سرور Observability به دیگر سرویسها یا دیتابیسهای داخلی حرکت کند
Collection (TA0009)
هدف اصلی تزریق SQL در این مورد جمعآوری دادههای حساس مانیتورینگ و لاگها است
Exfiltration (TA0010)
دادههای استخراجشده معمولاً از طریق کانالهای HTTP(S) یا خروجیهای اپلیکیشن منتقل میشوند
Impact (TA0040)
پیامد فنی شامل افشای اطلاعات حساس، تغییر دادهها (integrity loss) و اختلال عملیاتی در پلتفرم مانیتورینگ است که میتواند باعث تضعیف توانمندیهای نظارتی و تصمیمگیری امنیتی شود
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-26392
- https://www.cvedetails.com/cve/CVE-2025-26392/
- https://www.solarwinds.com/trust-center/security-advisories/cve-2025-26392
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26392
- https://vuldb.com/?id.329124
- https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/hco_2025-4_release_notes.htm
- https://nvd.nist.gov/vuln/detail/CVE-2025-26392
- https://cwe.mitre.org/data/definitions/89.html
