خانه » CVE-2025-8660
هشدار‌های سایبری

CVE-2025-8660

Privilege Escalation In Symantec PGP Encryption

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 7 بازدید
  • شناسه CVE-2025-8660 :CVE
  • CWE-269 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 11, 2025
  • به روز شده: آگوست 11, 2025
  • امتیاز: 5.6
  • نوع حمله: Privilege Escalation
  • اثر گذاری: Unknown
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Broadcom
  • محصول: Symantec PGP Encryption
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری افزایش سطح دسترسی (Privilege Escalation) در نرم‌افزار Symantec PGP Encryption نسخه 11.0.1 شناسایی شده است. این آسیب‌پذیری به کاربر اجازه می‌دهد تا به منابع یا قابلیت‌هایی فراتر از مجوزهای عادی خود دسترسی پیدا کند که این موضوع می‌تواند منجر به تغییر غیرمجاز تنظیمات سیستم یا دسترسی به داده‌های حساس شود.

توضیحات

آسیب‌پذیری CVE-2025-8660 از نوع مدیریت نادرست سطح دسترسی (مطابق با CWE-269) است و  به شرایطی اشاره دارد که مکانیزم‌های کنترل دسترسی به درستی پیاده‌سازی نشده‌اند و امکان افزایش غیرمجاز سطح دسترسی را فراهم می‌کنند. این آسیب پذیری زمانی رخ می‌دهد که نرم‌افزار به اشتباه به کاربران اجازه می‌دهد تا دسترسی بالاتر از مجوزهای تعریف شده، مانند امتیازات مدیریتی یا Root را به‌دست آورند. این آسیب‌پذیری از نوع مدیریت نادرست سطح دسترسی (Improper Privilege Management) است که در آن مکانیزم‌های کنترل دسترسی نرم‌افزار به درستی پیاده‌سازی نشده‌اند. این ضعف می‌تواند ناشی از خطاهای برنامه‌نویسی در بررسی یا اعمال مجوزها، پیکربندی نادرست فایل‌ها، سرویس‌ها یا اجزای نرم‌افزار، و همچنین ضعف‌های منطقی در طراحی سیستم باشد که اجازه می‌دهد وضعیت‌های غیرمنتظره‌ای رخ داده و مهاجم بتواند به‌طور غیرمجاز سطح دسترسی خود را افزایش دهد. علاوه بر این، سوءاستفاده از آسیب‌پذیری‌های پچ نشده نیز می‌تواند باعث ایجاد این مشکل شود.

در مورد آسیب پذیری مذکور، مهاجم قادر است سطح دسترسی خود را از طریق شبکه افزایش دهد. بهره برداری از این ضعف نیازمند پیچیدگی بالا، دسترسی‌های اولیه با سطح بالا و تعامل کاربر می باشد. پیامدهای این آسیب‌پذیری شامل دسترسی غیرمجاز به منابع حساس، تغییر تنظیمات امنیتی یا سوءاستفاده از قابلیت‌های مدیریتی است. برای کاربر نهایی، این ضعف می‌تواند به معنای تهدید امنیت داده‌های رمزنگاری‌شده و یا کاهش اعتماد به سیستم رمزنگاری باشد.  تاکنون هیچ اطلاعاتی درباره پچ یا راهکار رسمی از سوی Broadcom ارائه نشده است.

CVSS

Score Severity Version Vector String
5.6 MEDIUM 4.0 CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

 لیست محصولات آسیب پذیر

Versions Product
affected at 11.0.1 Symantec PGP Encryption

 نتیجه گیری

با توجه به عدم انتشار پچ امنیتی رسمی، توصیه می‌شود دسترسی‌های سطح مدیریتی به نرم‌افزار Symantec PGP   Encryption  فوراً محدود و کنترل شود تا از اجرای کد با امتیازات بالا توسط کاربران غیرمجاز جلوگیری به عمل آید. همچنین، پایش مستمر وب‌سایت رسمی Broadcom جهت دریافت به‌روزرسانی‌ها و اصلاحیه‌های امنیتی ضروری است. برای کاهش احتمال بهره‌برداری از آسیب‌پذیری، استفاده از فایروال‌های لایه شبکه برای فیلتر کردن ترافیک ورودی مشکوک، پیاده‌سازی سیستم‌های مانیتورینگ و تحلیل لاگ‌های سیستم به منظور شناسایی رفتارهای غیرعادی و محدودسازی دسترسی به نرم‌افزار تنها به IPهای مورد اعتماد (Trusted IPs) به شدت توصیه می‌شود.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-8660
  2. https://www.cvedetails.com/cve/CVE-2025-8660/
  3. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36021
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8660
  5. https://vuldb.com/?id.319397
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-8660
  7. https://cwe.mitre.org/data/definitions/269.html

همچنین ممکن است دوست داشته باشید

CVE-2025-8874

CVE-2025-7947

CVE-2025-8826

CVE-2025-8853

CVE-2025-8833

CVE-2025-8747

CVE-2025-8810

CVE-2025-8816

CVE-2025-8802

CVE-2025-8804

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.