- شناسه CVE-2025-27921 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: می 5, 2025
- به روز شده: می 5, 2025
- امتیاز: 6.1
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Remote code execution(RCE)
- حوزه: نرم افزارهای کاربردی
- برند: Srimax
- محصول: Output Messenger
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع reflected XSS در نسخههای پیش از 2.0.63 نرمافزار Output Messenger شناسایی شده است که به مهاجم اجازه میدهد اسکریپتهای مخرب را در مرورگر قربانی اجرا کند.
توضیحات
در نسخههای آسیبپذیر Output Messenger، دادههای ورودی کنترلشده توسط کاربر بدون فیلترسازی یا رمزگذاری مناسب در پاسخ صفحات HTML نمایش داده میشوند. این موضوع به مهاجم امکان میدهد تا از طریق ارسال لینک یا درخواست مخرب، کد جاوااسکریپت دلخواه را در مرورگر کاربر اجرا کند. این آسیبپذیری میتواند منجر به سرقت نشست(session hijacking) ، انجام حملات فیشینگ یا سایر حملات سمت کلاینت شود. نسخه 2.0.63 این آسیبپذیری را پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| Affected at version before 2.0.63 | Output Messenger |
لیست محصولات بروز شده
| Versions | Product |
| 2.0.63 and later | Output Messenger |
نتیجه گیری
با توجه به انتشار پچ امنیتی، توصیه میشود تمامی کاربران، Output Messenger را به نسخه 2.0.63 یا بالاتر بهروزرسانی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27921
- https://www.cvedetails.com/cve/CVE-2025-27921/
- https://www.outputmessenger.com/cve-2025-27921/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27921
- https://vuldb.com/?id.307447
- https://nvd.nist.gov/vuln/detail/CVE-2025-27921
- https://cwe.mitre.org/data/definitions/79.html
