- شناسه CVE-2025-3929 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: آوریل 29, 2025
- به روز شده: آوریل 29, 2025
- امتیاز: 5.3
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: MDaemon
- محصول: Email Server
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در نرمافزار MDaemon Email Server تا نسخه 25.0.1 شناسایی شده است. این آسیبپذیری مربوط به یکی از عملکردهای ناشناس در مؤلفه HTML Email Handler است که منجر به تزریق کد HTML میشود. این آسیبپذیری با شناسه CVE-2025-3929 ثبت شده و قابلیت اکسپلویت از راه دور را دارد. توصیه میشود مؤلفه آسیبپذیر به نسخه جدید ارتقا یابد.
توضیحات
این آسیبپذیری طبق دستهبندی CWE در دسته CWE-79 شناخته میشود که به معنای عدم خنثیسازی صحیح ورودیهای قابلکنترل توسط کاربر، پیش از نمایش آنها در صفحات وب برای سایر کاربران است. اثر اصلی این ضعف امنیتی، تهدید بر تمامیت دادهها (Integrity) است.
مهاجم میتواند با ارسال یک ایمیل HTML حاوی جاوااسکریپت در تگ <img>، کدی مخرب را در مرورگر کاربر وبمیل اجرا کند. این امر ممکن است به مهاجم اجازه دهد تا به دادههای کاربر دسترسی پیدا کند.
اکسپلویت این آسیب پذیری نسبتاً آسان است. مهاجم میتواند از راه دور حمله را آغاز کند، اما این حمله نیاز به تعامل کاربر و قربانی دارد.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 0 through 25.0.1 | Windows | Email Server |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| unaffected at 25.0.2 | Windows | Email Server |
نتیجه گیری
با ارتقا به نسخه 25.0.2 این آسیبپذیری برطرف میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-3929
- https://www.cvedetails.com/cve/CVE-2025-3929/
- https://mdaemon.com/pages/downloads-critical-updates
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3929
- https://vuldb.com/?id.306521
- https://nvd.nist.gov/vuln/detail/cve-2025-3928
- https://cwe.mitre.org/data/definitions/79.html
