- شناسه CVE-2025-8753 :CVE
- CWE-22 :CWE
- yes :Advisory
- منتشر شده: آگوست 9, 2025
- به روز شده: آگوست 9, 2025
- امتیاز: 5.4
- نوع حمله: Path Traversal
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: linlinjava
- محصول: litemall
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در پلتفرم linlinjava litemall تا نسخه 1.8.0 شناسایی شده است که امکان حذف غیرمجاز فایلها را از طریق ضعف در عملکرد حذف فایل فراهم میکند. این مشکل امنیت سیستم را تهدید کرده و نیازمند اقدامات فوری برای محافظت از سرور است.
توضیحات
آسیبپذیری CVE-2025-8753 در پلتفرم تجارت الکترونیک linlinjava litemall ، ناشی از ضعف در تابع delete در فایل /admin/storage/delete در کامپوننت پردازشگر File است که با پیمایش مسیر(مطابق با CWE-22) شناخته میشود. این آسیب پذیری به دلیل عدم اعتبارسنجی یا محدودسازی مناسب پارامتر key ورودی، به کاربران احراز هویتشده با مجوز حذف اجازه میدهد با دستکاری این پارامتر و ترکیب آن با مسیرها یا الگوهای مرتبط با سیستم فایل (مانند استفاده از مسیرهایی مثل ../../../../etc/passwd) ، هر فایلی را از سیستم فایل سرور حذف کنند. این موضوع میتواند منجر به حذف فایلهای سیستمی حیاتی، منابع برنامه یا لاگها شود. این ضعف که بهصورت از راه دور قابل بهرهبرداری است، برای کسبوکارهای کوچک و فروشگاههای آنلاین که از litemall برای مدیریت محصولات و سفارشات استفاده میکنند، خطراتی مانند انکار سرویس (DoS)، از دست رفتن دادههای مهم و تسهیل حملات بعدی مانند افزایش دسترسی غیرمجاز را به همراه دارد. همچنین، وجود اکسپلویت عمومی و کد اثبات مفهومی (PoC) این آسیبپذیری، بهرهبرداری توسط مهاجمان حتی با دسترسی محدود را بسیار آسان کرده است. عدم پاسخگویی فروشنده نیز نشان میدهد که هنوز پچ امنیتی لازم برای رفع این آسیب پذیری منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L/E:P/RL:X/RC:R |
| 5.4 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L/E:P/RL:X/RC:R |
| 5.5 | — | 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0
affected at 1.1 affected at 1.2 affected at 1.3 affected at 1.4 affected at 1.5 affected at 1.6 affected at 1.7 affected at 1.8.0 |
litemall |
نتیجه گیری
مدیران سیستم باید بهسرعت دسترسی به مسیر /admin/storage/delete را از طریق بازبینی و محدودسازی سطوح دسترسی (Access Control) فقط به حسابهای کاملاً مطمئن محدود کنند. همچنین لازم است در سمت سرور، اعتبارسنجی و نرمالسازی مسیر فایلها (Path Validation & Normalization) برای جلوگیری از پیمایش مسیر (Path Traversal) پیادهسازی شود. استفاده از فایروال برنامه وب (WAF) برای شناسایی و مسدودسازی درخواستهای حاوی الگوهای مخرب ضروری است. تا زمان انتشار وصله امنیتی، توصیه میشود عملکرد حذف فایل موقتاً غیرفعال شده و مجوزهای کاربری و نقشها (Roles & Permissions) با دقت بازبینی و به حداقل مورد نیاز کاهش یابد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8753
- https://www.cvedetails.com/cve/CVE-2025-8753/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8753
- https://vuldb.com/?submit.623859
- https://vuldb.com/?id.319250
- https://vuldb.com/?ctiid.319250
- https://github.com/linlinjava/litemall/issues/564
- https://github.com/linlinjava/litemall/issues/564#issue-3267670352
- https://nvd.nist.gov/vuln/detail/CVE-2025-8753
- https://cwe.mitre.org/data/definitions/22.html
