CVE-2025-41250

چکیده

آسیب‌پذیری در سرورVMware vCenter ، به دلیل ضعف در تزریق هدر SMTP است. مهاجم با سطح دسترسی غیرمدیریتی اما دارای مجوز ایجاد تسک زمان‌بندی می‌تواند ایمیل‌های اطلاع‌رسانی مرتبط با این تسک ها را دستکاری کند.

توضیحات

آسیب‌پذیری CVE-2025-41250 در سرورVMware vCenter  ناشی از عدم خنثی‌سازی مناسب المنت های خاص در دستورات SMTP (Simple Mail Transfer Protocol، پروتکل ارسال ایمیل) است که مطابق با CWE-77 (Command Injection) طبقه‌بندی می‌شود.

این ضعف در نسخه‌های vCenter  7.0 تا پیش از 7.0 U3w و  8.0 تا پیش از 8.0 U3g و همچنین محصولات مرتبط مانند  Cloud Foundation (راهکار مدیریت زیرساخت ابریVMware) ، Telco Cloud Platform( پلتفرم ابری شبکه های مخابراتی)  و Telco Cloud Infrastructure (زیرساخت ابری شبکه های مخابراتی) وجود دارد.

مهاجم با سطح دسترسی غیرمدیریتی که مجوز ایجاد تسک زمان‌بندی‌شده (scheduled tasks) دارد، می‌تواند هدرهای ایمیل‌ اعلان(Email Headers)   و سایر فیلدهای پروتکل  SMTP را دستکاری کند. این آسیب پذیری از طریق شبکه با پیچیدگی پایین و بدون تعامل کاربر قابل بهره‌برداری است. پیامدهای آن شامل نقض کامل یکپارچگی و محدود در دسترس‌پذیری است.

مهاجم می‌تواند محتوای ایمیل‌ها را تغییر دهد یا هدرهای جعلی اضافه کند که این امر ممکن است منجر به حملات فیشینگ یا نقض اعتماد در ارتباطات داخلی شود. VMware این آسیب پذیری را در نسخه های جدید پچ کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که VMware vCenter را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بالا در VMware vCenter یک تهدید جدی برای یکپارچگی ایمیل‌های اعلان (SMTP Email Headers) است و می‌تواند منجر به حملات فیشینگ یا دستکاری ارتباطات داخلی شود. با توجه به انتشار پچ رسمی ، اجرای فوری اقدامات زیر ضروری است:

• به‌روزرسانی محصولات: بلافاصله به نسخه‌های پچ شده 0 U3g یا 7.0 U3w برای vCenter ، 9.0.1.0 یا 5.2.2 برای Cloud Foundation ، KB411508 برای Telco Cloud و Telco Cloud Infrastructure و9.0.1.0 برای vSphere Foundationبه روزرسانی کنید.
• محدودسازی مجوزها: مجوز ایجاد تسک زمان‌بندی‌شده را محدود به کاربران معتبر کنید.
• نظارت بر ایمیل‌ها: لاگ‌های SMTP و تسک زمان‌بندی‌شده را برای هدرهای مشکوک بررسی کنید و از ابزارهایی مانند Splunk یا ELK برای تشخیص بهره‌برداری استفاده نمایید.
• فایروال اپلیکیشن وب (WAF): از WAF برای فیلتر کردن درخواست‌های مخرب به APIهای vCenter و محدودسازی ترافیک SMTP بهره ببرید.
• آموزش و آگاهی: مدیران vCenter را در مورد ریسک Header Injection و اهمیت به‌روزرسانی‌های امنیتی آموزش دهید.

با اجرای این اقدامات، ریسک بهره‌برداری از آسیب‌پذیری به حداقل رسیده و امنیت ارتباطات داخلی و اعلان‌های سیستم به طور قابل توجهی افزایش می‌یابد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

آسیب‌پذیری با حساب‌هایی که اجازه ایجاد scheduled task دارند قابل سوء‌استفاده است؛ یعنی مهاجم با سطح دسترسی کم (non-admin) ولی دارای مجوز تسک می‌تواند وارد زنجیره حمله شود

Execution (TA0002)
مهاجم می‌تواند با ایجاد یا ویرایش تسک زمان‌بندی‌شده، جریان تولید اعلان ایمیل را فعال کند تا هدرها و محتوای ارسالی دستکاری شود — عملاً اجرای عملیات زمان‌بندی‌شده در بستر vCenter رخ می‌دهد

Defense Evasion (TA0005)
تزریق هدرِ SMTP به مهاجم اجازه می‌دهد پیام‌های ارسالی را طوری قالب‌بندی کند که از فیلترها و WAF/Email-Gateway  عبور کند یا به‌عنوان پیام معتبر درون‌سازمانی نمایش یابد

Impact (TA0040)
اثر اصلی این ضعف، تخریب یکپارچگیِ ارتباطات داخلی و پتانسیلِ فیشینگ گسترده است — مهاجم می‌تواند اعتماد پیام‌های سیستمی را معکوس کند، کاربران را فریب دهد و از آن برای دستیابی به محیط مدیریت یا حرکت جانبی استفاده کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-41250
2. https://www.cvedetails.com/cve/CVE-2025-41250/
3. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-41250
5. https://vuldb.com/?id.326260
6. https://nvd.nist.gov/vuln/detail/CVE-2025-41250
7. https://cwe.mitre.org/data/definitions/77.html