خانه » CVE-2025-6438
هشدار‌های سایبری

CVE-2025-6438

Schneider Electric EcoStruxure IT Data Center Expert XML External Entity Injection via SOAP API Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 11 بازدید
هشدار سایبری CVE-2025-6438
  • شناسه CVE-2025-6438 :CVE
  • CWE-611 :CWE
  • yes :Advisory
  • منتشر شده: جولای 11, 2025
  • به روز شده: جولای 11, 2025
  • امتیاز: 6.8
  • نوع حمله: XML External Entity-XXE
  • اثر گذاری: Information Disclosure
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Schneider Electric
  • محصول: EcoStruxure IT Data Center Expert
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری در کامپوننت SOAP API نرم‌افزار EcoStruxure IT Data Center Expert به مهاجم اجازه می‌دهد از طریق تزریق موجودیت‌های خارجی XML (XXE)، به فایل‌های غیرمجاز در سیستم دسترسی پیدا کند. این حمله از طریق شبکه و با استفاده از حساب کاربری اپلیکیشن قابل اجرا می باشد.

توضیحات

این آسیب‌پذیری ناشی از ضعف در محدودسازی ارجاع به موجودیت‌های خارجی در فایل‌هایXML   (CWE-611) است. در این آسیب پذیری امنیتی، سرور هنگام پردازش درخواست‌های XML، بدون اعمال محدودیت یا بررسی کافی، به موجودیت‌های خارجی (External Entities) اجازه پردازش می‌دهد. این مسئله به مهاجم اجازه می‌دهد تا با ایجاد درخواست‌های SOAP مخرب، فایل‌های لوکال موجود روی سرور را بخواند یا داده‌هایی را از طریق تزریق موجودیت XML استخراج کند (XXE Injection).

در سناریوهای خاص، این حمله می‌تواند منجر به افشای اطلاعات حساس نظیر فایل‌های پیکربندی، رمزهای عبور ذخیره‌شده یا اطلاعات داخلی سیستم شود. همچنین مهاجم ممکن است از طریق این آسیب‌پذیری در عملکرد API اختلال ایجاد کند یا اطلاعاتی را به‌صورت غیرمجاز دریافت نماید.

با توجه به اینکه آسیب‌پذیری از راه دور و از طریق شبکه قابل بهره‌برداری است، می‌تواند به طور بالقوه محرمانگی، یکپارچگی و در دسترس‌پذیری سیستم را تهدید کند. این ضعف در نسخه‌های 8.3 و پایین‌تر از نرم‌افزار EcoStruxure IT Data Center Expert شناسایی شده و در نسخه 9.0 توسط شرکت Schneider Electric پچ شده است.

CVSS

Score Severity Version Vector String
5.9 MEDIUM 4.0 CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N
6.8 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

لیست محصولات آسیب پذیر

Versions Product
affected at Versions v8.3 and prior EcoStruxure IT Data Center Expert

لیست محصولات بروز شده

Versions Product
Version 9.0 EcoStruxure IT Data Center Expert

نتیجه گیری

کاربران باید در اسرع وقت EcoStruxure IT Data Center Expert را به نسخه 9.0 به‌روزرسانی کنند. در صورت عدم امکان به‌روزرسانی، شرکت توصیه به انجام اقدامات کاهش‌دهنده مانند تقویت تنظیمات امنیتی، تفکیک شبکه، استفاده از فایروال و محدود کردن دسترسی‌ها کرده است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-6438
  2. https://www.cvedetails.com/cve/CVE-2025-6438/
  3. https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-189-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-189-01.pdf
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6438
  5. https://vuldb.com/?id.316107
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-6438
  7. https://cwe.mitre.org/data/definitions/611.html

همچنین ممکن است دوست داشته باشید

CVE-2025-50125

CVE-2025-50124

CVE-2025-50121

CVE-2025-50122

CVE-2025-50123

CVE-2025-7194

CVE-2025-27203

CVE-2025-49530

CVE-2025-49527

CVE-2025-49529

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.