- شناسه CVE-2025-64988 :CVE
- CWE-20 :CWE
- yes :Advisory
- منتشر شده: دسامبر 11, 2025
- به روز شده: دسامبر 11, 2025
- امتیاز: 7.2
- نوع حمله: Command Injection
- اثر گذاری: Remote Code Execution with Elevated Privileges
- حوزه: نرم افزارهای شبکه و امنیت
- برند: TeamViewer
- محصول: DEX
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تزریق دستور (Command Injection) در دستور اجرایی 1E-Nomad-GetCmContentLocations پلتفرم TeamViewer DEX شناسایی شده است. این ضعف امنیتی به مهاجم احراز هویتشده با سطح دسترسی Actioner اجازه میدهد از راه دور، دستورات دلخواه را با سطح دسترسی بالا روی دستگاههای متصل اجرا کند.
توضیحات
آسیبپذیری CVE-2025-64988 در پلتفرم TeamViewer DEX که پیشتر با نام 1E DEXشناخته می شد، ناشی از اعتبارسنجی نادرست ورودیها (Improper Input Validation) مطابق با CWE-20 است. این پلتفرم یک راهکار مدیریت اندپوینت و اتوماسیون IT سازمانی است که امکان اجرای دستورالعملهای اجرایی (Instructions) را به صورت متمرکز و از راه دور روی دستگاههای متصل فراهم میکند.
این آسیبپذیری بهطور مشخص در دستور اجرایی 1E-Nomad-GetCmContentLocations وجود دارد؛ دستوری که برای بازیابی مکانهای محتوای مدیریت پیکربندی (Configuration Manager) در سرویس Nomad مورد استفاده قرار میگیرد. به دلیل عدم اعتبارسنجی صحیح پارامترهای ورودی، این دستور اجرایی امکان تزریق دادههای مخرب را فراهم میکند. در نتیجه، یک مهاجم احراز هویتشده با سطح دسترسی Actioner میتواند بدون نیاز به تعامل کاربر، پارامترهای دستکاریشدهای ارسال کرده و منجر به اجرای دستورات دلخواه با سطح دسترسی بالا روی دستگاههای هدف شود.
بهرهبرداری از این ضعف نسبتاً ساده است و از طریق شبکه انجام میشود؛ به این معنا که مهاجم با در اختیار داشتن حساب کاربری دارای مجوز Actioner میتواند دستورهای مخرب را از راه دور به اندپوینتهای متصل ارسال کند. این مسئله امکان اجرای کد از راه دور با سطح دسترسی بالا را فراهم کرده و پیامدهای جدی امنیتی به دنبال دارد. پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی با دسترسی غیرمجاز به دادهها، یکپارچگی با دستکاری تنظیمات و وضعیت سیستمها و در دسترسپذیری ایجاد اختلال یا توقف عملکرد دستگاهها است.
TeamViewer این آسیبپذیری را با انتشار نسخههای بهروزرسانیشده و ارتقای دستور اجرایی آسیبپذیر به نسخه 19.2 و بالاتر بهطور کامل پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 7.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 before 19.2 | DEX |
لیست محصولات بروز شده
| Versions | Product |
| 19.2 | DEX |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که TeamViewer DEXرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 83 | site:.ir “TeamViewer” “DEX” | TeamViewer DEX |
نتیجه گیری
این آسیبپذیری با شدت بالا در پلتفرم TeamViewer DEX به مهاجمان احراز هویتشده با سطح دسترسی Actioner اجازه میدهد دستورات دلخواه را با سطح دسترسی بالا روی دستگاههای متصل اجرا کنند. با توجه به انتشار پچ امنیتی اجرای اقدامات زیر برای جلوگیری از بهرهبرداری احتمالی و کاهش سطح ریسک توصیه میشود:
- بهروزرسانی فوری: دستورالعمل 1E-Nomad-GetCmContentLocations باید به نسخه 19.2 یا بالاتر ارتقا یابد. این اقدام مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک این ضعف و حملات مشابه کمک میکنند.
- محدودسازی دسترسیها: اصل حداقل سطح دسترسی را بهصورت سختگیرانه اجرا کنید و دسترسی Actioner را تنها به اپراتورهای مورد اعتماد محدود نمایید. دسترسیهای غیرضروری Actioner باید حذف شوند.
- مانیتورینگ و تشخیص تهدید: لاگها و تاریخچه اجرای دستورالعملها را بهصورت منظم نظارت کنید تا پارامترهای غیرعادی یا محتوای مشکوک به تزریق دستور شناسایی شود. همچنین استفاده از ابزارهای نظارت اندپوینت برای تشخیص عملکردهای غیرمعمول و فعالیتهای مشکوک توصیه میشود.
- حذف دستورات منسوخ: دستورالعملهای منسوخ شده که دیگر پشتیبانی نمیشوند، مانند 1E-Nomad-GetCmContentLocations، باید بهطور کامل از پلتفرم حذف شوند تا سطح ریسک حمله کاهش یابد.
- تست و ارزیابی: پس از اعمال بهروزرسانیها، اجرای دستورالعملها را تست کنید تا از عملکرد صحیح سیستم و رفع کامل آسیبپذیری اطمینان حاصل شود.
اجرای این اقدامات، بهویژه بهروزرسانی سریع دستورالعملها و کنترل دقیق دسترسیهای Actioner، ریسک بهرهبرداری از این آسیبپذیری را بهطور قابلتوجهی کاهش داده و سطح امنیت مدیریت اندپوینتهای سازمانی را بهبود میبخشد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
دسترسی اولیه از طریق احراز هویت معتبر با نقش Actioner در پلتفرم TeamViewer DEX انجام میشود. مهاجم نیازی به اکسپلویت خارجی ندارد و صرفاً با در اختیار داشتن یک حساب مجاز (یا اکانت سرقتشده) میتواند وارد بستر اجرایی دستورالعملها شود.
Execution (TA0002)
مهاجم با تزریق دستور (Command Injection) در پارامترهای Instruction آسیبپذیر، منجر به اجرای دستورات دلخواه روی اندپوینتهای هدف میشود. این اجرا از راه دور، بدون تعامل کاربر و با سطح دسترسی بالا انجام میگیرد.
Privilege Escalation (TA0004)
اگرچه مهاجم از ابتدا دارای دسترسی Actioner است، اما اجرای دستور در سطح بالاتر روی سیستم مقصد، عملاً به افزایش دامنه و قدرت عملیاتی منجر میشود. این مرحله باعث میشود مهاجم فراتر از نقش منطقی خود، کنترل سیستمی روی اندپوینتها بهدست آورد.
Defense Evasion (TA0005)
اجرای دستورات از طریق مکانیزمهای رسمی DEX انجام میشود و در ظاهر رفتاری مشروع دارد؛ همین موضوع میتواند باعث دور زدن کنترلهای امنیتی سنتی و کاهش حساسیت مانیتورینگ شود.
Impact (TA0040)
پیامد نهایی شامل کنترل کامل اندپوینتها، تغییر تنظیمات، اجرای دستورات مخرب و ایجاد اختلال عملیاتی در مقیاس سازمانی است. با توجه به ماهیت متمرکز DEX، این آسیبپذیری پتانسیل Impact گسترده دارد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-64988
- https://www.cvedetails.com/cve/CVE-2025-64988/
- https://www.teamviewer.com/en/resources/trust-center/security-bulletins/tv-2025-1006/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-64988
- https://vuldb.com/?id.335881
- https://nvd.nist.gov/vuln/detail/CVE-2025-64988
- https://cwe.mitre.org/data/definitions/20.html
