CVE-2025-30316

چکیده

یک آسیب‌پذیری از نوع XSS ذخیره‌شده (Stored Cross-Site Scripting) در نسخه‌های 12.8 و پایین‌تر نرم‌افزار Adobe Connect شناسایی شده است. این آسیب‌پذیری به مهاجمان با سطح دسترسی پایین اجازه می‌دهد کد مخرب جاوااسکریپت را در فرم‌های آسیب‌پذیر درج کنند. در صورت مشاهده صفحه آلوده توسط کاربر، اسکریپت مخرب اجرا خواهد شد.

توضیحات

آسیب‌پذیری CVE-2025-30316 از نوع XSS ذخیره‌شده (Stored Cross-site Scripting – CWE-79) بوده و در Adobe Connect تا نسخه 12.8 وجود دارد. این آسیب‌پذیری به مهاجم با دسترسی سطح پایین امکان می‌دهد تا اسکریپت‌های مخرب را از طریق فیلدهای ورودی در برنامه تزریق کند. این اسکریپت‌ها در مرورگر سایر کاربران هنگام بارگذاری صفحه اجرا می‌شوند.

بردار حمله مبتنی بر شبکه است و به دلیل سطح دسترسی پایین موردنیاز، بهره‌برداری از آن ساده بوده و تنها به تعامل کاربر قربانی نیاز دارد. از آنجا که حمله در زمینه امنیت مرورگر اجرا می‌شود، مهاجم می‌تواند به کوکی‌ها، نشست‌ها(sessions)  و اطلاعات حساب کاربری دسترسی پیدا کرده یا اقدام به جعل درخواست کند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران توصیه می‌شود در اسرع وقت به نسخه 12.9 یا بالاتر نرم افزار Adobe Connect به روزرسانی کنند. همچنین بررسی ورودی‌های کاربر و اعمال فیلتر مناسب می‌تواند از بروز حملات مشابه جلوگیری کند. استفاده از مرورگرهای ایمن و محدود کردن دسترسی کاربران با حداقل سطح مجاز نیز پیشنهاد می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-30316
2. https://www.cvedetails.com/cve/CVE-2025-30316/
3. https://helpx.adobe.com/security/products/connect/apsb25-36.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-30316
5. https://vuldb.com/?id.308847
6. https://nvd.nist.gov/vuln/detail/CVE-2025-30316
7. https://cwe.mitre.org/data/definitions/79.html