CVE-2025-66522

چکیده

آسیب‌پذیری XSS ذخیره‌شده (Stored Cross-Site Scripting) در قابلیت Digital IDs سرویس ابری Foxit PDF Editor (pdfonline.foxit.com) شناسایی شده است. این ضعف امنیتی به مهاجم احراز هویت‌شده با سطح دسترسی پایین اجازه می‌دهد کد مخرب را در داده‌های مرتبط با Digital IDs ذخیره کرده و در زمان مشاهده یا پردازش این اطلاعات، اسکریپت دلخواه را در مرورگر کاربران اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-66522 از نوع XSS ذخیره‌شده (Stored Cross-Site Scripting) مطابق با CWE-79 است که در قابلیت مدیریت شناسه‌های دیجیتال (Digital IDs) سرویس ابری Foxit PDF Editor رخ می‌دهد. این سرویس، پلتفرم آنلاین ویرایش و مدیریت اسناد PDF است که امکان امضای دیجیتال، مدیریت گواهی‌نامه‌ها و سایر عملیات مرتبط را فراهم می‌کند.

در این آسیب‌پذیری، برنامه به‌طور مناسب ورودی کاربر در فیلد Common Name را پاکسازی (sanitize) یا کدگذاری (encode) نکرده و محتوای تأمین‌شده توسط کاربر را مستقیماً در (DOM) Document Object Model درج می‌کند. در نتیجه، اگر مهاجم احراز هویت‌شده با دسترسی پایین، پیلود مخرب HTML یا جاوااسکریپت را در این فیلد وارد کند، کد ذخیره خواهد شد. کد مذکور هر زمان که دیالوگ Digital IDs باز شود یا PDF مرتبط بارگذاری گردد، در مرورگر قربانی اجرا خواهد شد.

برای سوءاستفاده از این آسیب پذیری مهاجم تنها نیاز به یک حساب کاربری معتبر با دسترسی پایین دارد و می‌تواند از طریق شبکه و با تعامل محدود کاربر (مانند باز کردن دیالوگ یا PDF)، اسکریپت را تزریق کند. پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی از طریق سرقت اطلاعات حساس مانند کوکی‌های نشست، توکن‌های احراز هویت یا داده‌های کاربر و تأثیر محدود بر یکپارچگی با امکان تغییر محتوای صفحه است.

Foxit این آسیب‌پذیری را همراه با چندین XSS ذخیره‌شده دیگر با به‌روزرسانی امنیتی دسامبر 2025 به‌طور کامل پچ کرده است. این به‌روزرسانی به‌صورت خودکار اعمال شده و نیازی به اقدام دستی کاربر ندارد.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Foxit را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در سرویس ابری Foxit PDF Editor به مهاجمان احراز هویت‌شده امکان اجرای کد جاوااسکریپت دلخواه در مرورگر کاربران را می‌دهد و می‌تواند منجر به سرقت اطلاعات حساس یا تغییر محتوای صفحه شود. با توجه به انتشار به‌روزرسانی امنیتی خودکار در دسامبر 2025، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری احتمالی و کاهش سطح ریسک توصیه می‌شود:

• به‌روزرسانی فوری: اطمینان حاصل کنید که از آخرین نسخه سرویس Foxit PDF Editor (به‌روزرسانی ۱ دسامبر 2025 یا جدیدتر) استفاده می‌کنید. این به‌روزرسانی به‌صورت خودکار اعمال شده، اما بررسی وضعیت حساب و لاگ‌ها برای اطمینان از اعمال موفق ضروری است. این اقدام مؤثرترین راهکار برای رفع کامل ضعف می‌باشد.
• اصل حداقل دسترسی: سیاست حداقل سطح دسترسی برای حساب‌های کاربری اعمال کنید و از اعطای دسترسی‌های غیرضروری به قابلیت‌های Digital IDs یا مدیریت گواهی‌نامه‌ها خودداری نمایید.
• استفاده از فایروال اپلیکیشن وب (WAF): از راهکارهای فایروال اپلیکیشن وب برای فیلتر کردن ورودی‌های مشکوک و پیلودهای XSS استفاده کنید تا حملات احتمالی مسدود شوند.
• مانیتورینگ و تشخیص: لاگ‌های سرویس را برای فعالیت‌های مشکوک مرتبط با تزریق اسکریپت یا دسترسی غیرعادی به دیالوگ‌های Digital IDs نظارت کنید. استفاده از ابزارهای تشخیص نفوذ (IDS) می‌تواند به شناسایی سریع حملات کمک کند.
• آموزش کاربران: کاربران را نسبت به ریسک ورودی‌های مخرب در فیلدهای متنی آگاه سازید و به آن‌ها توصیه کنید از وارد کردن محتوای ناشناخته در فیلدهای Common Name یا مشابه پرهیز کنند.
• تست و ارزیابی: با توجه به ابری بودن سرویس و اعمال پچ به‌صورت Server-Side، انجام تست نفوذ مستقیم امکان‌پذیر نیست؛ با این حال، می‌توان به‌صورت تأییدی بررسی کرد که ورود محتوای HTML یا جاوااسکریپت در فیلد Common Name دیگر منجر به اجرای کد نمی‌شود.

اجرای این اقدامات، به‌ویژه تأیید به‌روزرسانی خودکار و تقویت سیاست‌های دسترسی، ریسک بهره‌برداری از این آسیب‌پذیری و حملات XSS مشابه را به‌طور قابل‌توجهی کاهش داده و سطح امنیت کلی استفاده از سرویس‌های ابری PDF را افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم با داشتن یک حساب کاربری معتبر با سطح دسترسی پایین، از طریق قابلیت Digital IDs در سرویس pdfonline.foxit.com ورودی مخرب را در فیلد Common Name ثبت می‌کند. این دسترسی اولیه کاملاً در چارچوب عملکرد عادی سرویس و بدون نیاز به دور زدن احراز هویت انجام می‌شود.

Execution (TA0002)

کد JavaScript ذخیره‌شده هنگام مشاهده Digital ID یا بارگذاری PDF مرتبط، در مرورگر کاربر قربانی اجرا می‌شود. اجرای کد در کانتکست اپلیکیشن وب Foxit انجام شده و به مهاجم اجازه می‌دهد منطق سمت کلاینت را کنترل کند.

Credential Access (TA0006)

اسکریپت تزریق‌شده می‌تواند برای سرقت کوکی‌های نشست، توکن‌های احراز هویت یا داده‌های حساس کاربر استفاده شود. این تاکتیک مستقیماً محرمانگی حساب‌های کاربری سرویس Foxit را تهدید می‌کند.

Defense Evasion (TA0005)

از آنجا که پیلود به‌صورت ذخیره‌شده و در داده‌های معتبر سیستم قرار دارد، اجرای آن در قالب تعامل عادی کاربر انجام می‌شود و تشخیص آن برای کاربر یا کنترل‌های ساده امنیتی دشوار است.

Collection (TA0009)

اطلاعات واردشده یا در دسترس در DOM مرورگر، شامل داده‌های کاربری یا اطلاعات مرتبط با اسناد PDF، می‌تواند توسط اسکریپت مخرب جمع‌آوری شود. دامنه داده‌های جمع‌آوری‌شده به سطح دسترسی کاربر قربانی محدود است.

Exfiltration (TA0010)

داده‌های جمع‌آوری‌شده می‌توانند از طریق درخواست‌های HTTPS معمولی به سرور مهاجم ارسال شوند،

Impact (TA0040)

اثر اصلی این آسیب‌پذیری اجرای کد دلخواه در مرورگر کاربران و در نتیجه افشای اطلاعات حساس و تضعیف اعتماد به سرویس Foxit PDF Editor Cloud است. محرمانگی به‌طور قابل توجهی تحت تأثیر قرار می‌گیرد و یکپارچگی محتوای نمایشی به‌صورت محدود نقض می‌شود، اما اختلالی در دسترس‌پذیری سرویس ایجاد نمی‌شود. پچ سمت سرور Foxit ریسک بهره‌برداری فعال را حذف کرده است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-66522
2. https://www.cvedetails.com/cve/CVE-2025-66522/
3. https://www.foxit.com/support/security-bulletins.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-66522
5. https://vuldb.com/?id.337585
6. https://cwe.mitre.org/data/definitions/79.html