CVE-2025-27025

چکیده

یک آسیب‌پذیری در Infinera G42 نسخه 6.1.3 شناسایی شده است. این آسیب پذیری به دلیل ضعف در سرویس HTTP File Server، به کاربران احراز هویت‌شده اجازه می‌دهد با استفاده از متدهای PUT و GET، فایل‌های سیستم‌عامل را بخوانند یا بنویسند.

توضیحات

این آسیب‌پذیری در Infinera G42 نسخه‌های 6.1.3 تا قبل از 7.1 به دلیل پیکربندی نادرست در سرویس HTTP File Server  روی یک پورت TCP خاص رخ می‌دهد. این سرویس از متد احراز هویت Basic Authentication استفاده کرده و به کاربران احراز هویت‌شده اجازه می‌دهد با استفاده از متدهای PUT و GET، به ترتیب فایل‌ها را روی سیستم‌عامل بخوانند یا بنویسند. این آسیب پذیری، که به‌عنوان یک حمله Directory Traversal شناخته می‌شود، می‌تواند منجر به افشای اطلاعات حساس، اجرای دستورات از راه دور با تغییر اسکریپت‌ها یا اختلال در سرویس شود. Infinera این آسیب پذیری را در نسخه 7.1 و بالاتر با بهبود کنترل دسترسی و اعتبارسنجی پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران توصیه می شود در اسرع وقت Infinera G42 را به نسخه 7.1 یا بالاتر به‌روزرسانی کنند. همچنین پیشنهاد می شود دسترسی به سرویس HTTP File Server را محدود کرده و از فایروال برای جلوگیری از درخواست‌های غیرمجاز استفاده کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27025
2. https://www.cvedetails.com/cve/CVE-2025-27025/
3. https://www.cvcn.gov.it/cvcn/cve/CVE-2025-27025
4. https://euvd.enisa.europa.eu/vulnerability/CVE-2025-27025
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27025
6. https://vuldb.com/?id.314613
7. https://nvd.nist.gov/vuln/detail/CVE-2025-27025
8. https://cwe.mitre.org/data/definitions/280.html