- شناسه CVE-2025-27920 :CVE
- CWE-22 :CWE
- yes :Advisory
- منتشر شده: می 5, 2025
- به روز شده: می 5, 2025
- امتیاز: 9.8
- نوع حمله: Directory traversal
- اثر گذاری: Information Disclosure
- حوزه: نرم افزارهای کاربردی
- برند: Srimax
- محصول: Output Messenger
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع Directory Traversal در نسخههای قبل از 2.0.63 نرمافزار Output Messenger شناسایی شده است. این آسیب پذیری که به مهاجم امکان میدهد با استفاده از توالی هایی مانند ../ ، به فایلهایی خارج از مسیر مجاز نرم افزار دسترسی پیدا کند. این مسئله میتواند منجر به افشای اطلاعات حساس یا حتی اجرای کد دلخواه روی سیستم قربانی شود.
توضیحات
این آسیبپذیری به دلیل مدیریت ناصحیح پارامترهای مسیر دایرکتوری ایجاد شده و به مهاجم اجازه میدهد با ارسال مسیرهای تغییر یافته، فایلهایی مانند پیکربندی، دادههای کاربر یا حتی سورسکد را مشاهده یا اجرا کند. در صورتی که فایلهای اجرایی قابل دسترسی باشند، امکان اجرای کد از راه دور نیز وجود دارد. نسخه V2.0.63 این آسیبپذیری را پچ کرده و کاربران باید فوراً به این نسخه بهروزرسانی کنند.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| Affected at all version before 2.0.63 | Output Messenger |
لیست محصولات بروز شده
| Versions | Product |
| 2.0.63 and later | Output Messenger |
نتیجه گیری
آسیبپذیری بحرانی Directory Traversal در Output Messenger توسط مرکز امنیتی مایکروسافت گزارش شده و در نسخه V2.0.63 پچ شده است. با توجه به بحرانی بودن و امکان اجرای کد از راه دور، به تمامی کاربران توصیه میشود هرچه سریعتر نرمافزار خود را بهروزرسانی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27920
- https://www.cvedetails.com/cve/CVE-2025-27920/
- https://www.outputmessenger.com/cve-2025-27920/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27920
- https://vuldb.com/?id.307444
- https://nvd.nist.gov/vuln/detail/CVE-2025-27920
- https://cwe.mitre.org/data/definitions/22.html
