- شناسه CVE-2025-8913 :CVE
- CWE-98 :CWE
- yes :Advisory
- منتشر شده: آگوست 13, 2025
- به روز شده: آگوست 13, 2025
- امتیاز: 9.8
- نوع حمله: Local File Inclusion (LFI)
- اثر گذاری: Remote code execution(RCE)
- حوزه: سرورهای اپلیکیشن
- برند: WellChoose
- محصول: Organization Portal System
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری Local File Inclusion (LFI) در محصول Organization Portal System به مهاجمان راهدور و بدون نیاز به احراز هویت اجازه میدهد تا با شاملسازی (include) فایلهای لوکال سرور، منجر به اجرای کد دلخواه از راه دور شوند.
توضیحات
آسیبپذیری CVE‑2025‑8913 ناشی از کنترل نامناسب نام فایل در دستورات include و require زبان PHP مطابق با CWE‑98 است. این ضعف در WellChoose Organization Portal System (سامانه SSO (Single Sign-On) و مدیریت دایرکتوری الکترونیکی) باعث میشود ورودیهای کاربر از جمله پارامترهای URL و داده های ارسال شده در درخواستهای POST بدون اعتبارسنجی کافی مستقیماً در دستورات include پردازش شوند. در چنین شرایطی، مهاجم میتواند مسیر فایل دلخواه را تزریق کرده و باعث Local File Inclusion (LFI) شود؛ یعنی فایلهای لوکال سرور در زمان اجرا توسط موتور PHP به اسکریپت اصلی include شده و پردازش گردند.
این ضعف به مهاجم راهدور و بدون احراز هویت اجازه میدهد فایلهای لوکال سرور را از طریق include بارگذاری کرده و محتویات آنها را بخواند. در صورتی که مهاجم بتواند محتوای قابلتزریق را در یکی از فایلهای قابلخواندن (مانند لاگهای وبسرور) قرار دهد، امکان ارتقا حمله به اجرای کد سمتسرور نیز وجود خواهد داشت.
در سناریوی معمول (LFI‑to‑RCE)، مهاجم ابتدا پیلود خود را از طریق هدرهای HTTP نظیر User-Agent (در پروتکل HTTP، هر درخواست شامل هدرهایی برای انتقال اطلاعات مشتری است) در فایلهای لاگ ثبت کرده و سپس با include همان فایل لاگ، اجرای مستقیم کد مخرب را فعال میکند.
بهرهبرداری از این آسیبپذیری بهراحتی قابل خودکارسازی است؛ زیرا مهاجم میتواند بدون تعامل کاربر و بدون داشتن دسترسی اولیه، صرفاً با ارسال درخواستهای HTTP ساختگی به سادگی عملیات include فایل، افشای اطلاعات یا اجرای کد را انجام دهد. حتی اگر تنظیمات امنیتی PHP مانند allow_url_include غیرفعال باشد، این تنظیم فقط جلوی include فایلهای از راه دور را میگیرد؛ اما Local File Inclusion (LFI) همچنان فعال میماند و در صورت وجود مسیرهای قابلنوشتن (مانند دایرکتوری لاگها، آپلودهای وب یا /tmp) میتواند منجر به اجرای کد از راه دور (RCE) شود. پیامدهای آسیبپذیری شامل تأثیر بر محرمانگی با افشای فایلهای پیکربندی، رمزها یا دادههای کاربران، یکپارچگی با تغییر فایلها یا اجرای کد مخرب و در دسترسپذیری با امکان انکار سرویس (DoS) از طریق include فایلهای مخرب یا کرش سرور است. این آسیبپذیری با انتشار نسخه IFTOP_P3_2_1_197 بهطور کامل پچ شده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.3 | CRITICAL | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 through IFTOP_P3_2_1_196 | Organization Portal System |
لیست محصولات بروز شده
| Versions | Product |
| Update to version IFTOP_P3_2_1_197 or later | Organization Portal System |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که WellChooseرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 4 | site:.ir “WellChoose” | WellChoose |
نتیجه گیری
این آسیبپذیری با شدت بحرانی در Organization Portal System شرکت WellChoose، امکان اجرای کد دلخواه از راه دور از طریق LFI را فراهم می کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نمونههای Organization Portal System را به نسخه IFTOP_P3_2_1_197 یا بالاتر ارتقا دهید؛ این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد؛ پس از بهروزرسانی، سیستم را در محیط تست (Staging) بررسی کنید تا عملکرد SSO و دایرکتوریها حفظ شود. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیبپذیری و مقابله با حملات مشابه کمک کنند.
- اعتبارسنجی ورودیها: تمام پارامترهای ورودی (مانند filename در URLها) را با لیست سفید مسیرهای مجاز (whitelist) فیلتر کنید؛ همچنین، دستورات include را به فایلهای ثابت و غیرقابل تغییر محدود سازید.
- پیکربندی PHP: در تنظیمات ini، گزینه allow_url_include را غیرفعال کنید و open_basedir را برای محدودسازی مسیرهای قابلدسترسی فعال سازید. همچنین، با استفاده از disable_functions توابع خطرناک مانند system و exec را مسدود کنید.
- نظارت و ثبت لاگ: لاگهای وبسرور (Apache یا Nginx) و PHP را با سطح DEBUG فعال کنید تا تلاشهای LFI قابل شناسایی شود. از فایروال اپلیکیشن وب (WAF) مانند ModSecurity برای جلوگیری از تزریق مسیر و از SIEM برای تحلیل بلادرنگ لاگها استفاده کنید.
- ایزولهسازی سرور: سرویس را در محیط ایزوله اجرا کنید، دسترسی شبکه را با فایروال میزبان محدود کنید و اصل حداقل دسترسی را برای کاربر وبسرور (مثل www-data) رعایت نمایید.
- تست امنیتی: سیستم را با ابزارهایی مانند OWASP ZAP یا Burp Suite برای شناسایی سناریوهای LFI اسکن کنید. از Fuzzing برای بررسی ورودیهای فایل و از تست نفوذ دورهای با تمرکز بر includeهای PHP استفاده کنید.
- آموزش توسعهدهندگان: تیم توسعه را درباره ریسکهای LFI در PHP، ضرورت اعتبارسنجی ورودی و رعایت OWASP Top 10 (لیست 10 آسیبپذیری برتر وب) آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع، اعتبارسنجی دقیق ورودیها و نظارت مداوم، ریسک سوءاستفاده از این آسیبپذیری را بهطور قابلتوجهی کاهش داده و امنیت Organization Portal System را افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورودی شامل پارامترهای فایل بدون اعتبارسنجی، نقطه ورود مستقیم ایجاد میکند و مهاجم میتواند با تزریق مسیرهای ساختگی (Path Traversal) فایلهای دلخواه را include کند. این ورودی عملاً سطح حملهای فراهم میکند که در سناریوهای LFI امکان افشای فایلهای حساس یا اجرای فایلهای تزریقشده را مهیا میکند.
Execution (TA0002)
در صورت وجود سناریوی LFI‑to‑RCE، اجرای کد زمانی رخ میدهد که مهاجم محتوای کنترلشده (مثلاً لاگهای وبسرور) را به PHP include کند و موتور PHP آن را بهعنوان کد پردازش کند. این حالت به مهاجم اجازه اجرای دستورات سیستمعامل در کانتکست وبسرور میدهد.
Credential Access (TA0006)
افشای فایلهای حساس مانند etc/passwd، etc/shadow، توکنها، کلیدهای API و فایلهای کانفیگ سرویسها از طریق LFI انجامپذیر است و مسیر مستقیم برای بازیابی یا کرک اعتبارنامهها فراهم میکند.
Discovery (TA0007)
مهاجم از طریق تست مسیرها، بررسی خطاهای PHP و تلاشهای تکراری برای include فایلهای مختلف، ساختار فایلسیستم و مسیرهای قابلدسترسی وبسرور را شناسایی میکند.
Privilege Escalation (TA0004)
اگر فایلهای شامل credential یا توکن داخلی درون سیستم پیدا شوند، مهاجم میتواند از آنها برای بالا بردن سطح دسترسی در سرویسهای دیگر استفاده کند
Collection (TA0009)
مهاجم میتواند با تکرار include مسیرهای مختلف، محتوای فایلهای کانفیگ، لاگها، کلیدهای نرمافزاری و دادههای حساس را جمعآوری کند LFI یک ابزار مستقیم برای data harvesting محسوب میشود.
Exfiltration (TA0010)
اطلاعات افشاشده از طریق پاسخ HTTP خارج میشود و مهاجم میتواند در هر درخواست مقدار بیشتری از دادههای سیستم را بیرون بکشد،
Defense Evasion (TA0005)
استفاده از مسیرهای مبهم، double encoding،null byte injection یا traversalهای پیچیده، باعث دور زدن فیلترهای ناقص و bypass مکانیزمهای امنیتی WAF میشود. مهاجم معمولاً از الگوهای encode شده برای مخفیسازی حمله استفاده میکند.
Lateral Movement (TA0008)
اگر از طریق LFI فایلهای credential مربوط به سرویسهای داخلی DB، Redis، Docker API و غیره افشا شود، مهاجم میتواند به سرویسهای دیگر سازمان pivot کند و دامنه حمله را گسترش دهد.
Impact (TA0040)
خروجی این حمله معمولاً شامل افشای داده، اجرای کد از طریق فایلهای قابلتزریق، و در موارد شدید compromise کامل سرور وب است. پیامد آن هم از دست رفتن محرمانگی و هم احتمال نفوذ عملیاتی است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8913
- https://www.cvedetails.com/cve/CVE-2025-8913/
- https://www.twcert.org.tw/en/cp-139-10325-70192-2.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8913
- https://vuldb.com/?id.319874
- https://nvd.nist.gov/vuln/detail/CVE-2025-8913
- https://cwe.mitre.org/data/definitions/98.html
