- شناسه CVE-2025-27024 :CVE
- CWE-280 :CWE
- yes :Advisory
- منتشر شده: جولای 2, 2025
- به روز شده: جولای 2, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Information Disclosure
- حوزه: تجهیزات شبکه و امنیت
- برند: Infinera
- محصول: G42
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Infinera G42 نسخه 6.1.3 شناسایی شده است. این آسیب پذیری به دلیل دسترسی نامحدود در سرویسSFTP، به کاربران احراز هویتشده با پروفایل Network Administrator اجازه میدهد فایلهای سیستمعامل را بخوانند یا بنویسند.
توضیحات
این آسیبپذیری در Infinera G42 نسخههای 6.1.3 تا قبل از 8.0 به دلیل ضعف در پیکربندی سرویس SFTP رخ میدهد. کاربران با پروفایل Network Administrator میتوانند با استفاده از همان اعتبارنامههای SSH CLI، از طریق اتصالات SFTP به سیستم هدف دسترسی پیدا کنند و به جای اینکه در دایرکتوری محدود (chrooted) باقی بمانند بر اساس مجوزهای سیستمعامل، فایلها را بخوانند یا بنویسند. این آسیب پذیری میتواند منجر به افشای اطلاعات حساس سیستم شود، اما تأثیری بر یکپارچگی یا در دسترس پذیری ندارد. Infinera این آسیب پذیری را در نسخه 8.0 و بالاتر با بهبود محدودیتهای دسترسی SFTP برطرف کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 6.1.3 before 8.0 | G42 |
لیست محصولات بروز شده
| Versions | Product |
| 8.0 and later | G42 |
نتیجه گیری
به کاربران توصیه میشود در اسرع وقت Infinera G42 را به نسخه 8.0 یا بالاتر بهروزرسانی کنند. همچنین پیشنهاد می شود دسترسی به سرویس SFTP را برای کاربران غیرضروری محدود کرده و از فایروال برای جلوگیری از اتصالات غیرمجاز استفاده کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27024
- https://www.cvedetails.com/cve/CVE-2025-27024/
- https://www.cvcn.gov.it/cvcn/cve/CVE-2025-27024
- https://euvd.enisa.europa.eu/vulnerability/CVE-2025-27024
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27024
- https://vuldb.com/?id.314612
- https://nvd.nist.gov/vuln/detail/CVE-2025-27024
- https://cwe.mitre.org/data/definitions/280.html
