- شناسه CVE-2025-50122 :CVE
- CWE-331 :CWE
- yes :Advisory
- منتشر شده: جولای 11, 2025
- به روز شده: جولای 11, 2025
- امتیاز: 8.3
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Schneider Electric
- محصول: EcoStruxure IT Data Center Expert
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع کمبود آنتروپی (Insufficient Entropy) در الگوریتم ایجاد رمز عبور در برخی نسخههای EcoStruxure IT Data Center Expert شناسایی شده است. مهاجم با دسترسی به فایلهای نصب یا بهروزرسانی، میتواند الگوریتم ایجاد رمز عبور root را مهندسی معکوس کرده و به رمز عبور دست یابد.
توضیحات
در این آسیبپذیری، به دلیل کمبود آنتروپی در الگوریتم ایجاد رمز عبور، امکان پیشبینی یا بازیابی رمز عبور حساب root وجود دارد. مهاجم در صورتی که به فایلهای نصب یا به روزرسانی محصول دسترسی داشته باشد، قادر خواهد بود با مهندسی معکوس این الگوریتم، رمز عبور را به دست آورده و دسترسی کامل به سیستم پیدا کند. این آسیبپذیری بدون نیاز به تعامل کاربر و از راه دور قابل بهرهبرداری است، هرچند پیچیدگی فنی آن نسبتاً بالا است. این موضوع سه اصل محرمانگی، یکپارچگی و دسترسپذیری را تحت تأثیر قرار میدهد. این آسیب پذیری در نسخه 9.0 پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.9 | HIGH | 4.0 | CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H |
| 8.3 | HIGH | 3.1 | CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at Versions v8.3 and prior | EcoStruxure IT Data Center Expert |
لیست محصولات بروز شده
| Versions | Product |
| Version 9.0 | EcoStruxure IT Data Center Expert |
نتیجه گیری
کاربران باید هر چه سریعتر نرمافزار EcoStruxure IT Data Center Expert را به نسخه 9.0 به روزرسانی کنند. در صورت عدم امکان بهروزرسانی، اعمال اقدامات پیشگیرانه مانند تقویت تنظیمات، محدودسازی دسترسی و جداسازی شبکه ضروری است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-50122
- https://www.cvedetails.com/cve/CVE-2025-50122/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50122
- https://vuldb.com/?id.316105
- https://nvd.nist.gov/vuln/detail/CVE-2025-50122
- https://cwe.mitre.org/data/definitions/331.html
