خانه » CVE-2025-29894
هشدار‌های سایبری

CVE-2025-29894

Qsync Central

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 17 بازدید
  • شناسه CVE-2025-29894 :CVE
  • CWE-89 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 29, 2025
  • به روز شده: آگوست 29, 2025
  • امتیاز: 7.5
  • نوع حمله: SQL Injection
  • اثر گذاری: Arbitrary code execution(ACE)
  • حوزه: نرم افزارهای کاربردی
  • برند: QNAP Systems Inc
  • محصول: Qsync Central
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در Qsync Central نسخه‌های 4.5.x پیش از 4.5.0.7، ناشی از تزریق (SQL Injection) SQL است که امکان اجرای کد یا دستورات غیرمجاز را برای مهاجمان با دسترسی حساب کاربری فراهم می‌کند. این ضعف به مهاجمان اجازه می‌دهد با سوءاستفاده از حساب کاربری معتبر، به داده‌های حساس دسترسی پیدا کرده یا دستورات مخرب اجرا کنند.

توضیحات

آسیب‌پذیری CVE-2025-29894 در Qsync Central، برنامه همگام‌سازی فایل QNAP، ناشی از تزریق SQL است که مطابق با CWE-89 طبقه‌بندی می‌شود.

این ضعف در نسخه‌های 4.5.x پیش از 4.5.0.7 وجود دارد و به مهاجمان با دسترسی به یک حساب کاربری معتبر اجازه می‌دهد با ارسال ورودی‌های مخرب به کوئری‌های SQL، کد یا دستورات غیرمجاز اجرا کنند.

این آسیب‌پذیری از طریق شبکه با پیچیدگی پایین قابل بهره‌برداری است و نیازمند دسترسی به حساب کاربری با سطح محدود و تعامل جزئی کاربر می‌باشد.

مهاجم می‌تواند با تزریق SQL، داده‌های حساس مانند اطلاعات کاربر یا فایل‌ها را استخراج کند، یکپارچگی داده‌ها را تغییر دهد یا ممکن است دسترسی‌های غیرمجاز به سرور به دست آورد.

پیامدهای آن شامل نقض شدید محرمانگی با دسترسی به داده‌های حساس، یکپارچگی با تغییر داده‌های پایگاه و در دسترس‌پذیری با اختلال در سرویس Qsync است. این ضعف بخشی از مجموعه‌ای از آسیب‌پذیری‌هایSQL injection در Qsync Central است.

شرکت QNAP این آسیب پذیری را در نسخه 4.5.0.7 (2025/04/23) با بهبود اعتبارسنجی ورودی‌ها و جلوگیری از تزریق SQL پچ کرده است. کاربران باید از طریق App Center در QTS یا QuTS hero برنامه را به روزرسانی کنند تا ریسک بهره برداری کاهش یابد.

CVSS

Score Severity Version Vector String
7.5 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

 لیست محصولات آسیب پذیر

Versions Product
affected from 4.5.x.x before 4.5.0.7 ( 2025/04/23 ) Qsync Central

لیست محصولات بروز شده

Versions Product
4.5.0.7 (2025/04/23) and later Qsync Central

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که QNAP Systems Inc را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
56 QNAP Systems Inc

 نتیجه گیری

این آسیب‌پذیری در Qsync Central، به دلیل امکان تزریق SQL توسط کاربران احراز هویت‌شده، تهدیدی جدی برای امنیت همگام‌سازی فایل‌ها ایجاد می‌کند که می‌تواند منجر به سرقت داده‌ها، تغییر اطلاعات پایگاه داده یا اختلال در سرویس شود. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • به‌روزرسانی فوری: Qsync Central را از طریق App Center در QTS یا QuTS hero به نسخه 5.0.7 (2025/04/23) یا بالاتر به‌روزرسانی کنید. مراحل شامل ورود به App Center، جستجو “Qsync Central”، کلیک روی Update و تأیید OK است.
  • مدیریت حساب‌های کاربری: دسترسی حساب‌های کاربری را محدود کنید، فقط به کاربران مورد اعتماد دسترسی دهید و از احراز هویت چندعاملی (MFA) برای حساب‌های حساس استفاده کنید.
  • اعتبارسنجی ورودی‌ها: تمام ورودی‌های کاربران را پیش از پردازش در کوئری‌های SQL اعتبارسنجی و پاک‌سازی کنید (مانند استفاده از parameterized queries).
  • نظارت بر لاگ‌های پایگاه داده: لاگ‌های SQL را برای شناسایی کوئری‌های مشکوک مانند تزریق UNION یا ERROR-based بررسی کنید.
  • محدودسازی دسترسی شبکه: دسترسی به Qsync Central را با فایروال QNAP محدود کنید و فقط از IPهای مجاز اجازه دهید.
  • پشتیبان‌گیری منظم: از داده‌های همگام‌سازی‌شده پشتیبان‌گیری کنید تا در صورت وقوع مشکل، داده ها حفظ شوند.
  • آموزش کاربران: کاربران را در مورد ریسک SQL injection و اهمیت به‌روزرسانی نرم‌افزار آگاه کنید.

اجرای این اقدامات، ریسک تزریق SQL و نقض امنیت را به حداقل رسانده و امنیت Qsync Central و داده های همگام سازی شده را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
بهره‌برداری مستلزم دسترسی به یک حساب کاربری معتبر در اپلیکیشن Qsync است؛ مهاجم با استفاده از این حساب می‌تواند پارامترهای ورودی را به‌صورت مخرب ارسال کند و نقطه‌ی ورود لازم برای تزریق SQL ایجاد شود.

Execution (TA0002)
ورودی‌های مخرب منجر به اجرای دستورات SQL دلخواه در پایگاه‌داده می‌شوند (SQL execution). این اجرا در سطح دیتابیس رخ می‌دهد و مهاجم قادر است کوئری‌های خواندن، نوشتن یا تغییر ساختار را اجرا کند؛ در برخی پیاده‌سازی‌های دیتابیسِ خاص، امکان اجرای عملکردهای سطح سیستم یا فراخوانی رویه‌های xp وجود دارد که باید به‌صورت موردی ارزیابی شود.

Persistence (TA0003)
مهاجم ممکن است بتواند داده‌ها، کوئری‌های زمان‌بندی‌شده، یا ردیابی‌هایی را در پایگاه‌داده یا پیکربندی اپ ذخیره کند که پس از خروج، مجدداً باعث اجرای رفتارهای مخرب یا افزایش بار شده و دسترسی یا اثرات را پایدار نگه دارد.

Privilege Escalation (TA0004)
با استخراج یا تغییر مقادیر هِش‌شده رمز یا داده‌های پیکربندی، مهاجم می‌تواند اعتبارنامه‌های سطح بالاتر را به‌دست آورد یا شرایطی فراهم سازد که امکان تبدیل دسترسی پایگاه‌داده به دسترسی سیستمی را در صورت وجود توابع خطرناک DB ایجاد کند.

Defense Evasion (TA0005)
تزریق‌های پیچیده و به‌صورت زمان‌بندی‌شده (low-and-slow) یا استفاده از الگوهای کوئریِ پویا می‌تواند از قوانین ساده IDS/WAF و تشخیص مبتنی بر الگو عبور کند؛ همچنین مهاجم می‌تواند لاگ‌های SQL را تغییر یا حذف کند تا ردپا پنهان بماند.

Credential Access (TA0006)
از طریق تزریق می‌توان به جداول حاوی اطلاعات هویتی، توکن‌ها یا مقادیر پیکربندی دسترسی یافت و اعتبارنامه‌های کاربری یا توکن‌های سرویس را استخراج نمود که امکان استفاده یا سوءاستفاده بعدی را فراهم می‌سازد.

Discovery (TA0007)
مهاجم با اجرای کوئری‌های اکتشافی می‌تواند اسکیما، نام جداول، لیست کاربران، مجوزها و متادیتای سیستم را شناسایی کند تا برد حمله را گسترش دهد و نقاط سودمند برای استخراج یا تغییر را پیدا کند.

Lateral Movement (TA0008)
اعتبارنامه‌ها یا داده‌های حاصل از تزریق می‌توانند برای دسترسی به سرویس‌های دیگر، دیتابیس‌های مجاور یا میزبان‌های شبکه مورد استفاده قرار گیرند؛ همچنین خروجی‌های کوئری ممکن است برای راه‌اندازی حملات زنجیره‌ای علیه اجزای دیگر شبکه به‌کار روند.

Collection (TA0009)
هدف اولیه مهاجم عموماً استخراج داده‌های حساس است: رکوردهای کاربری، فایل‌های نمایه‌شده، بکاپ‌ها یا هر داده قابل‌ارزش که می‌توان آن‌ها را در قالب نتایج کوئری جمع‌آوری و آماده خروج نمود.

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده از طریق کانال‌های شبکه (HTTP/S, FTP, DNS tunneling) یا از طریق ارسال نتایج کوئری به نقاط خارجی منتقل می‌شوند؛ مهاجم می‌تواند نتایج را رمزنگاری یا در ترافیک مشروع محو نماید تا کشف را دشوار کند.

Impact (TA0040)
پیامدها شامل نقض محرمانگی افشای داده‌های حساس، نقض یکپارچگی (تغییر یا حذف رکوردها)، و کاهش دسترس‌پذیری (اختلال یا از کار افتادن سرویس‌های وابسته) است. در سناریوهای خاص و بسته به پیکربندی دیتابیس، امکان وقوع اجرای کد یا دستورات سطح سیستم نیز وجود دارد که باید بر اساس نوع DBMS و تنظیمات بررسی شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-29894
  2. https://www.cvedetails.com/cve/CVE-2025-29894/
  3. https://www.qnap.com/en/security-advisory/qsa-25-22
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-29894
  5. https://vuldb.com/?id.321956
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-29894
  7. https://cwe.mitre.org/data/definitions/89.html

همچنین ممکن است دوست داشته باشید

CVE-2025-10964

CVE-2025-10975

CVE-2025-10911

CVE-2025-10994

CVE-2025-10540

CVE-2025-10137

CVE-2025-10127

CVE-2025-10634

CVE-2025-10960

CVE-2025-10958

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×