- شناسه CVE-2025-50928 :CVE
- CWE-89 :CWE
- No :Advisory
- منتشر شده: آگوست 8, 2025
- به روز شده: آگوست 8, 2025
- امتیاز: 4.8
- نوع حمله: Unknown
- اثر گذاری: SQL Injection (SQLi)
- حوزه: وبسرورها
- برند: Easy Hosting Control Panel
- محصول: EHCP
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری تزریق SQL در نسخه 20.04.1.b پنل مدیریت Easy Hosting Control Panel (EHCP) شناسایی شده است که از طریق پارامتر id در تابع Change Settings قابل بهره برداری است.
توضیحات
آسیبپذیری CVE-2025-50928 ناشی از عدم خنثیسازی مناسب پارامترهای ویژه (مطابق با CWE-89) در ورودیهای پارامتر id در تابع Change Settings ایجاد شده است. این آسیب پذیری به مهاجم اجازه میدهد با تزریق کد SQL مخرب، کوئری های پایگاه داده را دستکاری کرده و به اطلاعات حساس موجود در آن دسترسی یابد یا تغییراتی در دادهها ایجاد کند. یک حمله موفق میتواند منجر به افشای اطلاعات کاربران، مانند نامهای کاربری، رمزهای عبور یا تنظیمات سرور شود که ریسک نقض حریم خصوصی و دسترسی غیرمجاز به سیستمها را به دنبال دارد. اگرچه پیچیدگی بالای حمله (نیاز به دانش فنی و شرایط خاص) ریسک را کاهش میدهد، اما در صورت بهرهبرداری، میتواند به اعتبار ارائه دهندگان خدمات هاستینگ آسیب جدی وارد کند. در حال حاضر برای این آسیب پذیری به روزرسانی یا پچ امنیتی منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 4.8 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| Affected at v20.04.1.b | EHCP |
نتیجه گیری
به مدیران سرور توصیه می شود در اسرع وقت دسترسی به تابع Change Settings را محدود کرده و ورودیهای پارامتر id را قبل از استفاده در کوئری های SQL اعتبارسنجی و خنثیسازی کنند. استفاده از فایروال برنامه وب (WAF) برای فیلتر کردن درخواستهای مشکوک و نظارت بر ترافیک ورودی نیز توصیه میشود. در صورت امکان، جایگزینی EHCP با پنلهای مدیریت هاستینگ ایمنتر میتواند ریسک را کاهش دهد. آموزش مدیران برای شناسایی حملات تزریق SQL و تقویت سیاستهای امنیتی پایگاه داده نیز به پیشگیری از بهرهبرداری کمک میکند.
منابع
