خانه » CVE-2025-48958
هشدار‌های سایبری

CVE-2025-48958

Froxlor Has An HTML Injection Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 7 بازدید
هشدار سایبری CVE-2025-48958
  • شناسه CVE-2025-48958 :CVE
  • CWE-79 :CWE
  • yes :Advisory
  • منتشر شده: ژوئن 2, 2025
  • به روز شده: ژوئن 2, 2025
  • امتیاز: 5.5
  • نوع حمله: phishing
  • اثر گذاری: credential theft
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: froxlor
  • محصول: froxlor
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری HTML Injection در پورتال حساب کاربری نرم‌افزار مدیریت سرور Froxlor، نسخه‌های پیش از 2.2.6 شناسایی شده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد کدهای HTML مخرب را در بخش ورودی ایمیل وارد کرده و محتوای جعلی را در صفحات برنامه نمایش دهد. این مسئله می‌تواند باعث حملات فیشینگ، سرقت اطلاعات لاگین کاربران و آسیب به اعتبار برند شود.

توضیحات

این آسیب‌پذیری ناشی از خنثی‌سازی نادرست ورودی‌ها هنگام تولید محتوای صفحات وب است (CWE-79). در بخش ایجاد آدرس ایمیل در پورتال مشتری Froxlor، پارامتر domain به‌درستی پاک‌سازی (sanitization) نشده و ورودی HTML به‌صورت مستقیم در صفحه خطا نمایش داده می‌شود. مهاجم می‌تواند با استفاده از ابزارهایی مانند Burp Suite، مقدار پارامتر domain را با یک پیلود HTML مخرب مانند تگ <a> جایگزین کرده و درخواست را ارسال کند. در نتیجه، کد مخرب در پاسخ خطا بازتاب داده می‌شود و به‌صورت یک لینک قابل کلیک ظاهر می‌گردد.

با کلیک کاربر روی این لینک جعلی، مرورگر او به یک وب‌سایت مخرب هدایت می‌شود. بهره‌برداری از این آسیب‌پذیری نیازمند تعامل کاربر بوده، اما به احراز هویت قبلی نیازی نداشته و از راه دور (از طریق شبکه) قابل اجرا است. این ضعف امنیتی در سطح شدت متوسط (Medium Severity) طبقه‌بندی شده و در نسخه 2.2.6 از نرم‌افزار Froxlor پچ شده است.

CVSS

Score Severity Version Vector String
5.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

لیست محصولات آسیب پذیر

Versions Product
affected at < 2.2.6 Froxlor

لیست محصولات بروز شده

Versions Product
2.2.6 Froxlor

نتیجه گیری

برای جلوگیری از بروز چنین آسیب‌پذیری‌هایی، توسعه‌دهندگان باید در هنگام تولید محتوای صفحات وب، از روش‌های استاندارد برای اعتبارسنجی ورودی‌ها، پاکسازی داده‌ها و رمزگذاری خروجی‌ها استفاده کنند.

به‌روزرسانی نرم‌افزار Froxlor به نسخه 2.2.6 یا جدیدتر اکیداً توصیه می‌شود، چرا که این نسخه حاوی پچ امنیتی لازم برای رفع این مشکل است.

نادیده گرفتن این آسیب‌پذیری می‌تواند زمینه‌ساز حملات فیشینگ، از بین رفتن اعتماد کاربران و در برخی موارد، نقض مقررات امنیت اطلاعات و حفظ حریم خصوصی شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-48958
  2. https://www.cvedetails.com/cve/CVE-2025-48958/
  3. https://github.com/froxlor/Froxlor/security/advisories/GHSA-26xq-m8xw-6373
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48958
  5. https://vuldb.com/?id.310811
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-48958
  7. https://github.com/froxlor/Froxlor/commit/fde43f80600f1035e1e3d2297411b666d805549a
  8. https://github.com/user-attachments/assets/86947633-3e7c-4e10-86cc-92e577761e8e
  9. https://cwe.mitre.org/data/definitions/79.html

همچنین ممکن است دوست داشته باشید

CVE-2025-5789

CVE-2025-5788

CVE-2025-5787

CVE-2025-5786

CVE-2025-5785

CVE-2025-23099

CVE-2025-23105

CVE-2025-23104

CVE-2025-48866

CVE-2025-0073

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.