خانه » CVE-2025-50123
هشدار‌های سایبری

CVE-2025-50123

Schneider Electric EcoStruxure IT Data Center Expert Hostname Input Code Injection Leading to Remote Command Execution

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 4 بازدید
هشدار سایبری CVE-2025-50123



  • شناسه CVE-2025-50123 :CVE
  • CWE-94 :CWE
  • yes :Advisory
  • منتشر شده: جولای 11, 2025
  • به روز شده: جولای 11, 2025
  • امتیاز: 7.2
  • نوع حمله: Code injection
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Schneider Electric
  • محصول: EcoStruxure IT Data Center Expert
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری تزریق کد(Code Injection)  در EcoStruxure IT Data Center Expert شناسایی شده است. این آسیب پذیری به مهاجم با دسترسی بالا امکان می‌دهد از طریق پارامتر hostname در محیط کنسول، دستورات دلخواه را روی سرور اجرا کند.

توضیحات

در این آسیب‌پذیری، پارامتر hostname بدون اعتبارسنجی کافی در مسیر پردازش قرار گرفته و در نهایت می‌تواند درتولید کد استفاده شود. در صورتی که مهاجم دسترسی کنسول و سطح دسترسی بالا داشته باشد، قادر خواهد بود دستورات دلخواه را به‌صورت لوکال روی سرور اجرا کرده و کنترل کامل آن را به‌دست آورد. بهره‌برداری از این آسیب‌پذیری بدون نیاز به تعامل کاربر و با حداقل پیچیدگی امکان‌پذیر است. این مسئله بر سه اصل امنیت یعنی محرمانگی، یکپارچگی و دردسترس‌پذیری تأثیر می‌گذارد. این آسیب پذیری در نسخه 9.0 پچ شده است.

CVSS

Score Severity Version Vector String
7.2 HIGH 4.0 CVSS:4.0/AV:P/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H
7.2 HIGH 3.1 CVSS:3.1/AV:P/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected at Versions v8.3 and prior EcoStruxure IT Data Center Expert

لیست محصولات بروز شده

Versions Product
Version 9.0 EcoStruxure IT Data Center Expert

نتیجه گیری

با توجه به شدت بالای این آسیب‌پذیری و امکان اجرای دستورات مخرب توسط حساب‌های دارای دسترسی بالا، توصیه می‌شود که کاربران در اسرع وقت سیستم خود را به نسخه 9.0 به‌روزرسانی کنند. در صورت عدم امکان به روزرسانی، باید فوراً اقدامات کاهش‌دهنده مانند تقویت تنظیمات امنیتی، تفکیک شبکه و محدودسازی دسترسی به کنسول اعمال شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-50123
  2. https://www.cvedetails.com/cve/CVE-2025-50123/
  3. https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-50123
  5. https://vuldb.com/?id.316106
  6. https://nvd.nist.gov/vuln/detail/CVE-2022-50123
  7. https://cwe.mitre.org/data/definitions/94.html

همچنین ممکن است دوست داشته باشید

CVE-2025-50125

CVE-2025-50124

CVE-2025-50121

CVE-2025-50122

CVE-2025-6438

CVE-2025-7194

CVE-2025-27203

CVE-2025-49530

CVE-2025-49527

CVE-2025-49529

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.