CVE-2025-34490

GFI MailEssentials XXE Vulnerability

توسط Vulnerbyte Alerts 2025-04-29

نوشته شده توسط Vulnerbyte Alerts 2025-04-29

شناسه CVE-2025-34490 :CVE
CWE-611 :CWE
yes :Advisory
منتشر شده: آوریل 28, 2025
به روز شده: آوریل 28, 2025
امتیاز: 6.5
نوع حمله: XML External Entity-XXE

اثر گذاری: Read arbitrary system files
حوزه: نرم افزارهای کاربردی
برند: GFI
محصول: MailEssentials
وضعیتPublished :CVE
No :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری XXE در نرم‌افزار GFI MailEssentials تا قبل از نسخه 21.8 شناسایی شده است. این مسئله به مهاجم احراز هویت‌شده اجازه می‌دهد با ارسال درخواست‌های مخرب HTTP ، به فایل‌های سیستم دسترسی غیرمجاز پیدا کند.

توضیحات

در نسخه‌های آسیب‌پذیر از GFI MailEssentials، یک ضعف در تجزیه داده‌های XML باعث بروز آسیب‌پذیری XXE می‌شود. این آسیب پذیری به مهاجمانی که احراز هویت شده‌اند امکان می‌دهد با ایجاد درخواست‌هایی حاوی موجودیت‌های خارجی XML، به فایل‌های دلخواه در سیستم هدف دسترسی پیدا کنند.

CVSS

Score	Severity	Version	Vector String
6.5	MEDIUM	3.1	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

لیست محصولات آسیب پذیر

Versions	Product
affected from 0 before 21.8	MailEssentials

لیست محصولات بروز شده

Versions	Product
21.8 and later	MailEssentials

نتیجه گیری

با توجه به حساسیت اطلاعاتی که می‌تواند از طریق این آسیب‌پذیری فاش شود، لازم است تمامی کاربرانی که از نسخه‌های پیش از 21.8 استفاده می‌کنند، هرچه سریع‌تر نرم‌افزار خود را به نسخه امن به‌روزرسانی نمایند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-34490

2. https://www.cvedetails.com/cve/CVE-2025-34490/

3.https://gfi.ai/products-and-solutions/network-security-solutions/mailessentials/resources/documentation/product-releases

4. https://frycos.github.io/vulns4free/2025/04/28/mailessentials.html

5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-34490

6. https://vuldb.com/?id.306424

7. https://nvd.nist.gov/vuln/detail/CVE-2025-34490

8. https://cwe.mitre.org/data/definitions/611.html