- شناسه CVE-2025-8840 :CVE
- CWE-285, CWE-266 :CWE
- yes :Advisory
- منتشر شده: آگوست 11, 2025
- به روز شده: آگوست 11, 2025
- امتیاز: 5.4
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: N/A
- محصول: jshERP
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری IDOR (ارجاع مستقیم ناامن به Object) با شدت متوسط در نرم افزار jshERP تا نسخه 3.5 شناسایی شده است. این آسیبپذیری درکامپوننت endpoint فایل /jshERP-boot/user/deleteBatch به دلیل عدم اعتبارسنجی مناسب دسترسی، به کاربران با سطح دسترسی پایین اجازه میدهد برخی عملیات غیرمجاز، مانند حذف حسابهای کاربری، را انجام دهند که تنها باید برای مدیران سیستم قابل دسترس باشد.
توضیحات
آسیبپذیری CVE-2025-8840 از نوع مجوزدهی نادرست (مطابق با CWE-285) و تخصیص نادرست سطح دسترسی (مطابق با CWE-266) است. این آسیب پذیری بهعنوان یک ضعف IDOR طبقهبندی میشود.
در این آسیب پذیری فایل /jshERP-boot/user/deleteBatch در کامپوننت endpoint نرم افزار jshERPبه کاربران با سطح دسترسی پایین اجازه میدهد تا با دستکاری آرگومان ids، عملیاتی مانند حذف چندین حساب کاربری را انجام دهند. این endpoint فاقد اعتبارسنجی مناسب دسترسی در سطح درخواست است (مانند بررسی توکن CSRF یا کنترلهای دقیق مجوز). این ضعف به مهاجم اجازه میدهد تا با ارسال درخواستهای دستکاریشده مانند درخواست DELETE با لیست ids، حسابهای کاربری دلخواه را حذف کرده یا تغییراتی غیرمجاز اعمال کند. این حمله از راه دور قابل اجرا است، نیاز به سطح دسترسی پایین دارد، بدون تعامل کاربر انجام میشود و پیچیدگی پایینی دارد.
برای کاربر نهایی، این آسیبپذیری میتواند منجر به حذف غیرمجاز حسابهای کاربری، اختلال در عملکرد سیستم ERP یا سوءاستفاده از دادههای حساس سازمانی شود. کد اثبات مفهومی (PoC) عمومیشده نشان میدهد که مهاجم با ارسال درخواست DELETE به /jshERP-boot/user/deleteBatch با پارامتر ids میتواند حسابهای کاربری دلخواه را حذف کند. در حال حاضر برای این آسیب پذیری هیچگونه وصله یا به روزرسانی رسمی منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N/E:P |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L/E:P/RL:X/RC:R |
| 5.4 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L/E:P/RL:X/RC:R |
| 5.5 | — | 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:P/E:POC/RL:ND/RC:U |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 3.0
affected at 3.1 affected at 3.2 affected at 3.3 affected at 3.4 affected at 3.5 |
jshERP |
نتیجه گیری
با توجه به عدم ارائه وصله امنیتی برای CVE-2025-8840، توصیه میشود فوراً دسترسی به مسیر آسیبپذیر /jshERP-boot/user/deleteBatch در سطح وبسرور یا Reverse Proxy مسدود شده و تنها به IPهای معتبر یا کاربران احراز هویتشده اجازه دسترسی داده شود. علاوه بر این، در لایه اپلیکیشن باید کنترل دقیق سطح دسترسی (RBAC) پیادهسازی شده و اعتبارسنجی توکن CSRF برای تمام عملیات حساس فعال گردد تا از ارسال درخواستهای غیرمجاز جلوگیری شود. بررسی مداوم لاگهای دسترسی و اپلیکیشن برای شناسایی درخواستهای مشکوک، و اعمال قوانین اختصاصی در فایروال برنامه وب (WAF) برای مسدود کردن درخواستهای خطرناک، از دیگر اقدامات ضروری است. در نهایت، در صورت امکان، غیرفعالسازی موقت این Endpoint یا مهاجرت به نسخه یا سیستم امنتر، به عنوان راهکار بلندمدت پیشنهاد میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8840
- https://www.cvedetails.com/cve/CVE-2025-8840/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8840
- https://vuldb.com/?submit.622573
- https://vuldb.com/?id.319374
- https://vuldb.com/?ctiid.319374
- https://vuldb.com/?submit.622621
- https://github.com/jishenghua/jshERP/issues/126
- https://nvd.nist.gov/vuln/detail/CVE-2025-8840
- https://cwe.mitre.org/data/definitions/285.html
- https://cwe.mitre.org/data/definitions/266.html
