- شناسه CVE-2025-4046 :CVE
- CWE-862 :CWE
- No :Advisory
- منتشر شده: آگوست 19, 2025
- به روز شده: آگوست 19, 2025
- امتیاز: 8.5
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: سیستمهای مجازیسازی و مدیریت ابری
- برند: Lexmark
- محصول: Lexmark Cloud Services
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری عدم بررسی مجوز (Missing Authorization) در سیستم مدیریت نشان های (badges) سرویس ابری Lexmark شناسایی شده است. این آسیب پذیری به مهاجمان با دسترسی سطح پایین در یک سازمان اجازه میدهد نشانها را در داخل همان سازمان مجدداً تخصیص دهند که میتواند منجر به دسترسی غیرمجاز، تغییر تنظیمات یا اختلال در سرویس شود.
توضیحات
آسیبپذیری CVE-2025-4046 از نوع عدم بررسی مجوز (مطابق با CWE-862) است که در سیستم مدیریت نشان سرویس ابری Lexmark رخ میدهد. این آسیب پذیری به شرایطی اشاره دارد که برنامه بررسیهای لازم برای تأیید مجوز کاربران برای دسترسی به منابع یا انجام اقدامات خاص را انجام نمیدهد.
در این مورد، ضعف در سیستم مدیریت نشان به کاربران با دسترسی سطح پایین مانند کاربران معمولی در یک سازمان اجازه میدهد نشانها (badges) را که برای احراز هویت یا دسترسی به سرویس های ابری Lexmark استفاده میشوند، مجدداً تخصیص دهند. این امر میتواند منجر به دسترسی غیرمجاز به منابع، تغییر تنظیمات یا اختلال در عملکرد سرویسهای ابری شود.
این حمله از راه دور قابل اجرا بوده، نیازمند دسترسی سطح پایین است، بدون تعامل کاربر انجام میشود، اما به دلیل نیاز به دانش در مورد سیستم مدیریت نشان پیچیدگی دارد. مهاجم باید دانش خاصی درباره ساختار داخلی سیستم Badge Management داشته باشد پیامدهای این آسیب پذیری شامل دسترسی به دادههای حساس، تغییر تنظیمات یا داده ها و اختلال در دسترس پذیری سرویس است.
در حال حاضر هیچ اطلاعاتی درباره نسخه پچشده یا جزئیات رفع مشکل منتشر نشده، بنابراین وضعیت پچ نامشخص است. کاربران باید برای اطمینان از وضعیت بهروزرسانی با تیم پشتیبانی Lexmark تماس بگیرند.
CVSS
| Score | Severity | Version | Vector String |
| 8.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 0 | Lexmark Cloud Services |
نتیجه گیری
با توجه به شدت بالای این آسیبپذیری و تأثیر آن بر محرمانگی، یکپارچگی و در دسترس پذیری سرویس های ابری Lexmark، کاربران باید فوراً با تیم پشتیبانی Lexmark از طریق ایمیل تماس گرفته و وضعیت بهروزرسانی یا پچ را جویا شوند. همچنین برای کاهش ریسک به کاربران توصیه میشود دسترسی به سیستم مدیریت نشان را به کاربران مورد اعتماد محدود کرده، از سیاستهای احراز هویت قوی (مانند احراز هویت چندمرحلهای) استفاده نمایند، لاگهای سیستم را برای شناسایی تلاشهای غیرمجاز برای تخصیص مجدد نشانها بررسی کنند، از فایروال برنامه وب (WAF) و جداسازی شبکهای برای کاهش دسترسی غیرمجاز به سرویس های ابری بهره گرفته و بهطور منظم وبسایت Lexmark را برای دریافت اطلاعیه های جدید بررسی کنند. این اقدامات بهصورت یکپارچه از بهرهبرداری جلوگیری کرده و پایداری سرویس های ابریLexmark را حفظ میکند.
امکان استفاده در Mitre Attack
- Tactic (TA0006) – Credential Access
Sub-technique (T1556.009) – Modify Authentication Process: Other
مهاجم با استفاده از ضعف در بررسی مجوز میتواند فرایند تخصیص نشانهای (badges) مرتبط با احراز هویت را تغییر دهد و به دسترسی غیرمجاز به سرویسهای ابری Lexmark برسد. - Tactic (TA0004) – Privilege Escalation
Sub-technique (T1078) – Valid Accounts
بهدلیل امکان بازتخصیص نشانها، مهاجم میتواند حسابهای کاربری با سطح دسترسی پایین را به حسابهایی با سطح دسترسی بالاتر تبدیل کند و در نتیجه امتیازات بیشتری بهدست آورد. - Tactic (TA0005) – Defense Evasion
Sub-technique (T1078.004) – Valid Accounts: Cloud Accounts
با سوءاستفاده از مجوزهای بازتخصیص دادهشده، مهاجم میتواند در قالب یک کاربر معتبر ابری فعالیت کرده و از شناسایی توسط سیستمهای امنیتی اجتناب کند. - Tactic (TA0040) – Impact
Sub-technique (T1499) – Endpoint Denial of Service (DoS)
باز تخصیص غیرمجاز نشانها میتواند باعث اختلال در دسترسپذیری سرویسهای ابری Lexmark و ناتوانی کاربران مجاز در استفاده از سرویس شود.
منابع
