- شناسه CVE-2025-8773 :CVE
- CWE-89, CWE-74 :CWE
- yes :Advisory
- منتشر شده: آگوست 9, 2025
- به روز شده: آگوست 9, 2025
- امتیاز: 7.3
- نوع حمله: SQL Injection
- اثر گذاری: Unknown
- حوزه: پایگاههای داده
- برند: Dinstar
- محصول: Monitoring Platform
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری با شدت بالا در پلتفرم مانیتورینگ Dinstar نسخه 1.0 شناسایی شده است که امکان Injection SQL را فراهم میکند. این آسیب پذیری امنیت دادههای سیستم را تهدید کرده و نیازمند اقدامات فوری برای محافظت از سرور است.
توضیحات
آسیبپذیری CVE-2025-8773 ناشی از ضعف در تابع ناشناختهای در فایل /itc/$%7BappPath%7D/login_getPasswordErrorNum.action است که با تزریق SQL (مطابق با CWE-89 و Injection (مطابق با CWE-74) شناخته میشود. این آسیب پذیری به دلیل عدم خنثیسازی مناسب ورودیهای کاربر در آرگومان userBean.loginName، به مهاجمان اجازه میدهد دستورات SQL مخرب را به صورت از راه دور اجرا کنند که این موضوع میتواند منجر به دسترسی غیرمجاز به پایگاه داده، استخراج اطلاعات حساس مانند اعتبارنامههای کاربران یا دستکاری دادهها شود. این دسترسی میتواند با دسترسی به داده های حساس امکان اجرای حملات دیگری مانند دسترسی غیرمجاز به پنل مدیریت را به همراه داشته باشد. وجود اکسپلویت عمومی و کد اثبات مفهومی (PoC)، بهرهبرداری از این آسیبپذیری را حتی توسط مهاجمان کمتجربه نیز آسان کرده است. همچنین، عدم پاسخگویی فروشنده و عدم انتشار پچ امنیتی، ریسک سوءاستفاده گسترده را افزایش داده و ضرورت اجرای اقدامات فوری حفاظتی را برجسته میکند.
CVSS
| Score | Severity | Version | Vector String |
| 6.9 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 7.3 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.3 | HIGH | 3.0 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R |
| 7.5 | — | 2.0 | AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:ND/RC:UR |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 1.0 | Monitoring Platform |
نتیجه گیری
مدیران سیستم باید در اسرع وقت دسترسی به Endpointهای /itc/$%7BappPath%7D/login_getPasswordErrorNum.action را محدود کرده، ورودیهای کاربر را اعتبارسنجی و خنثیسازی کنند و از فایروال برنامه وب (WAF) برای فیلتر کردن درخواستهای مخرب استفاده نمایند. همچنین، تا زمان انتشار پچ امنیتی، غیرفعال کردن موقت قابلیتهای آسیبپذیر و مانیتورینگ دقیق فعالیتهای پایگاه داده بسیار ضروری است. با توجه به عدم پاسخگویی فروشنده، توصیه میشود بهصورت منظم وبسایت Dinstar را برای دریافت بهروزرسانیها بررسی کرده و در صورت لزوم، پلتفرم فعلی با محصولی امن تر جایگزین شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8773
- https://www.cvedetails.com/cve/CVE-2025-8773/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8773
- https://vuldb.com/?submit.625361
- https://vuldb.com/?id.319296
- https://vuldb.com/?ctiid.319296
- https://github.com/qiantx/cve/blob/main/cve6.md
- https://nvd.nist.gov/vuln/detail/CVE-2025-8773
- https://cwe.mitre.org/data/definitions/89.html
- https://cwe.mitre.org/data/definitions/74.html
