خانه » CVE-2025-50121
هشدار‌های سایبری

CVE-2025-50121

OS Command Injection Vulnerability in Web Interface Enabling Unauthenticated Remote Code Execution

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-50121



  • شناسه CVE-2025-50121 :CVE
  • CWE-78 :CWE
  • yes :Advisory
  • منتشر شده: جولای 11, 2025
  • به روز شده: جولای 11, 2025
  • امتیاز: 10
  • نوع حمله:  OS Command Injection
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Schneider Electric
  • محصول: EcoStruxure IT Data Center Expert
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

در این آسیب‌پذیری بحرانی، مهاجم بدون نیاز به احراز هویت می‌تواند با ایجاد یک پوشه مخرب از طریق رابط HTTP (در صورت فعال بودن)، اقدام به اجرای کد دلخواه از راه دور روی سرور کند. این آسیب پذیری ناشی از تزریق فرمان سیستم‌عامل (OS Command Injection) به دلیل عدم خنثی‌سازی صحیح ورودی‌ها می باشد.

توضیحات

در نسخه‌های آسیب‌پذیر از نرم‌افزار EcoStruxure IT Data Center Expert، فعال‌سازی رابط HTTP می‌تواند زمینه‌ساز حمله‌ای از نوع تزریق فرمان سیستم عامل (OS Command Injection) شود. در این حالت، مهاجم از طریق ارسال درخواست HTTP و ایجاد یک پوشه با نام مخرب، بدون نیاز به احراز هویت، قادر به اجرای دستورات سیستمی با سطح دسترسی بالا روی سرور خواهد بود. رابط HTTP به‌صورت پیش‌فرض غیرفعال بوده، اما در صورت فعال‌سازی، سطح ریسک بهره برداری به طور چشمگیری افزایش می یابد. این آسیب‌پذیری قابلیت بهره‌برداری آسان، بدون نیاز به تعامل کاربر و از راه دور را دارد و محرمانگی، یکپارچگی و در دسترس پذیری را تحت تاثیر قرار می دهد. این آسیب پذیری در نسخه 9.0 پچ شده است.

CVSS

Score Severity Version Vector String
9.5 CRITICAL 4.0 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H
10.0 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product 
affected at Versions v8.3 and prior EcoStruxure IT Data Center Expert

لیست محصولات بروز شده

Versions Product
Version 9.0 EcoStruxure IT Data Center Expert

نتیجه گیری

به کاربران توصیه می‌شود در اسرع وقت نسخه آسیب‌پذیر را به نسخه 9.0 به‌روزرسانی کنند. در صورت عدم امکان به روزرسانی، باید اقدامات پیشگیرانه مانند تقویت تنظیمات و غیرفعال کردن HTTP در سیستم انجام شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-50121
  2. https://www.cvedetails.com/cve/CVE-2025-50121/
  3. https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50121
  5. https://vuldb.com/?id.316104
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-50122
  7. https://cwe.mitre.org/data/definitions/78.html

همچنین ممکن است دوست داشته باشید

CVE-2025-50125

CVE-2025-50124

CVE-2025-50122

CVE-2025-50123

CVE-2025-6438

CVE-2025-7194

CVE-2025-27203

CVE-2025-49530

CVE-2025-49527

CVE-2025-49529

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.