- شناسه CVE-2025-8853 :CVE
- CWE-290 :CWE
- yes :Advisory
- منتشر شده: آگوست 11, 2025
- به روز شده: آگوست 11, 2025
- امتیاز: 9.8
- نوع حمله: Authentication Bypass
- اثر گذاری: Information Disclosure
- حوزه: مدیریت هویت و دسترسی
- برند: 2100 Technology
- محصول: Official Document Management System
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری بحرانی از نوع دور زدن احراز هویت (Authentication Bypass) در سیستم مدیریت اسناد رسمی شرکت 2100 Technology نسخههای 5.0.89.0 تا 5.0.89.2 شناسایی شده است. این آسیبپذیری به مهاجمان بدون احراز هویت اجازه میدهد تا توکن اتصال (Connection Token) هر کاربر را بهدست آورده و به جای آن کاربر وارد سیستم شوند.
توضیحات
آسیبپذیری CVE-2025-8853 از نوع دور زدن احراز هویت از طریق جعل (مطابق با CWE-290) است و در دستهبندی OWASP Top 10 سال 2021، تحت عنوان A07: Identification and Authentication Failures قرار میگیرد. این آسیبپذیری به ضعف در پیادهسازی مکانیزمهای احراز هویت اشاره دارد که امکان جعل هویت (Spoofing) را برای مهاجمان فراهم میکند و به آنها اجازه میدهد بدون نیاز به اعتبارنامه، از طریق دستکاری بستههای درخواست، توکن اتصال کاربران فعال را بهدست آورده و به سیستم دسترسی غیرمجاز پیدا کنند.
به زبان ساده، مهاجم میتواند با تغییر یا ساخت یک درخواست جعلی و دستکاری درخواست ارسالی به سرور، وانمود کند که کاربر قانونی است و بدون وارد کردن نام کاربری و رمز عبور، وارد سیستم شود.
در این مورد، ضعف در مکانیزم احراز هویت سیستم مدیریت اسناد رسمی شرکت 2100 Technology رخ داده است که مهاجمان میتوانند با تغییر بستههای درخواست، اطلاعات کاربران لاگین شده را استخراج کرده و به جای آنها به سیستم وارد شوند. این حمله از راه دور قابل اجرا بوده، نیاز به هیچگونه سطح دسترسی یا تعامل کاربر ندارد و پیچیدگی آن پایین است. پیامدهای این آسیبپذیری شامل محرمانگی (Confidentiality) با امکان افشای اطلاعات حساس، یکپارچگی (Integrity) با احتمال تغییر غیرمجاز در اسناد یا تنظیمات سیستم که میتواند منجر به جعل اسناد یا دستکاری دادهها شود و در دسترس پذیری (Availability) با ایجاد اختلال در دسترسی به سیستم یا سوءاستفاده از منابع برای حملات گستردهتر می باشد. برای کاربر نهایی، این آسیبپذیری میتواند منجر به دسترسی غیرمجاز به اسناد حساس، سرقت اطلاعات خصوصی یا سوءاستفاده از هویت کاربران برای انجام اقدامات مخرب در سیستم شود. این آسیب پذیری با بهروزرسانی نسخه 5.0.90 یا بالاتر پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 9.3 | CRITICAL | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at 5.0.89.0
affected at 5.0.89.1 affected at 5.0.89.2 |
Official Document Management System |
لیست محصولات بروز شده
| Versions | Product |
| 5.0.90 or later | Official Document Management System |
نتیجه گیری
با توجه به بحرانی بودن آسیبپذیری مذکور، توصیه میشود در کوتاهترین زمان ممکن سیستم مدیریت اسناد رسمی را به نسخه 5.0.90 یا بالاتر ارتقاء دهید تا از رفع کامل نقص اطمینان حاصل شود. همچنین، انجام تحلیل جامع لاگهای سیستم و سرورهای مربوطه جهت شناسایی و ردیابی دسترسیهای مشکوک یا غیرمجاز از اهمیت بالایی برخوردار است. برای افزایش سطح امنیت، باید فایروالهای لایه برنامه (WAF) و شبکه بهروزرسانی و پیکربندی شده و سیاستهای فیلترینگ ترافیک بهگونهای تنظیم شود که تنها درخواستهای معتبر و از منابع IP شناختهشده اجازه دسترسی به APIهای حساس را داشته باشند. علاوه بر این، پیادهسازی احراز هویت چندمرحلهای (MFA) و استفاده از توکنهای امنیتی مبتنی بر استانداردهای OAuth2 یا OpenID Connect به منظور تقویت فرآیند تأیید هویت ضروری است. در نهایت، اعمال سیاستهای سختگیرانه مدیریت رمز عبور شامل الزام به تغییر دورهای، پیچیدگی بالا و جلوگیری از استفاده مجدد رمزها توصیه میشود تا احتمال سوءاستفاده از اعتبارنامهها به حداقل برسد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8853
- https://www.cvedetails.com/cve/CVE-2025-8853/
- https://www.twcert.org.tw/en/cp-139-10320-ad540-2.html
- https://www.chtsecurity.com/news/a9a90f0b-c2cb-4c66-b3d1-bc7f252fd108
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8853
- https://vuldb.com/?id.319400
- https://cwe.mitre.org/data/definitions/290.html
