- شناسه CVE-2025-9094 :CVE
- CWE-1336, CWE-791 :CWE
- yes :Advisory
- منتشر شده: آگوست 17, 2025
- به روز شده: آگوست 17, 2025
- امتیاز: 4.3
- نوع حمله: Unknown
- اثر گذاری: Unknown
- حوزه: نرم افزارهای کاربردی
- برند: N/A
- محصول: ThingsBoard
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری تزریق تمپلیت سمت کاربر (CSTI) در پلتفرم ThingsBoard نسخه 4.1 در کامپوننت Add Gateway Handler شناسایی شده است. این ضعف امنیتی به دلیل عدم خنثیسازی مناسب المنت های خاص در موتور تمپلیت، به مهاجمان احراز هویتشده اجازه میدهد کد جاوااسکریپت مخرب را در مرورگر کاربران هنگام بازدید صفحه Getway اجرا کنند.
توضیحات
آسیبپذیری CVE-2025-9094 از نوع تزریق تمپلیت سمت کاربر (مطابق با CWE-1336) و فیلترینگ ناقص المنت های خاص (مطابق با CWE-791) است که در پلتفرم ThingsBoard IoT نسخه 4.1 رخ میدهد.
این آسیب پذیری در کامپوننت Add Gateway Handler رخ میدهد، جایی که مهاجم میتواند با ایجاد یک گیت وی جدید حاوی عبارت تمپلیت مخرب مانند {{constructor.constructor(‘location.href=”https://evil.com”‘)()}}، کد جاوااسکریپت دلخواه را در مرورگر کاربرانی که صفحه گیت وی یا لیست گیت وی ها را مشاهده میکنند، اجرا کند.
مراحلی که برای سوءاستفاده از آسیب پذیری توسط مهاجم طی میشود به شرح زیر است:
- ورود به رابط وب ThingsBoard با حساب کاربری معتبر.
- مراجعه به بخش Gateways و انتخاب گزینه Add Gateway.
- وارد کردن نام گیتوی حاوی پیلود مخرب.
- ذخیره گیتوی.
- هنگام بازدید صفحه یا لیست گیتویها توسط کاربران دیگر، پیلود اجرا شده و مرورگر به سایت مهاجم (مانند https://evil.com) هدایت میشود.
این حمله از راه قابل اجرا است، نیاز به سطح دسترسی پایین دارد، بدون تعامل کاربرانجام میشود. پیامد این آسیب پذیری تنها نقض یکپارچگی است و تأثیری بر محرمانگی یا در دسترس پذیری ندارد. اکسپلویت این آسیب پذیری به صورت عمومی منتشر شده است. طبق اعلام ThingsBoard ، این ضعف در نسخه 4.2 و نسخههای LTS (دارای پشتیبانی بلندمدت) از 4.0 به بعد اصلاح خواهد شد، اما تا زمان انتشار رسمی، هیچ پچ مستقیمی ارائه نشده است.
CVSS
Score | Severity | Version | Vector String |
5.3 | MEDIUM | 4.0 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P |
4.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/E:P/RL:X/RC:C |
4.3 | MEDIUM | 3.0 | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/E:P/RL:X/RC:C |
4.0 | — | 2.0 | AV:N/AC:L/Au:S/C:N/I:P/A:N/E:POC/RL:ND/RC:C |
لیست محصولات آسیب پذیر
Versions | Product |
affected at 4.1 | ThingsBoard |
نتیجه گیری
با توجه به پتانسیل این آسیبپذیری برای اجرای کد جاوااسکریپت مخرب و تأثیر بر یکپارچگی سیستم، کاربران ThingsBoard تا زمان انتشار نسخه 4.2 باید اقدامات کاهش ریسک را اعمال کنند. در این راستا، محدودسازی دسترسی به بخش Add Gateway تنها برای حسابهای کاربری مورد اعتماد و مانیتورینگ مداوم فعالیتهای کاربران جهت شناسایی عملکردهای مشکوک توصیه میشود. بهکارگیری سیاست های امنیتی محتوا (CSP) در رابط وب ThingsBoard و استفاده از فایروال اپلیکیشن وب (WAF) برای فیلتر کردن ورودیهای غیرمجاز، میتواند سطح تهدید را به میزان قابل توجهی کاهش دهد. همچنین، نظارت بر ترافیک شبکه بهمنظور تشخیص هدایتهای غیرمجاز به دامنههای ناشناخته و افزایش آگاهی کاربران برای اجتناب از دسترسی به صفحات مشکوک، از اهمیت بالایی برخوردار است. در محیطهای حیاتی، بهرهگیری موقت از راهکارهای جایگزین IoT تا زمان انتشار پچ امنیتی میتواند بهعنوان یک لایه حفاظتی تکمیلی مدنظر قرار گیرد. این اقدامات بهصورت یکپارچه امنیت سیستم را حفظ کرده و از تأثیرات CSTI جلوگیری میکند.
امکان استفاده در تاکتیک های Mitre Attack
- Tactic (TA0005) – Defense Evasion
Sub-technique (T1027) – Obfuscated Files or Information
مهاجم میتواند از الگوهای مخفیشده در قالبها (مانند {{constructor.constructor(…)}}) استفاده کند تا کدهای جاوااسکریپت مخرب بهصورت پنهان در ورودیها تزریق شوند. این کدها در ظاهر مشروع بوده و میتوانند از دید برخی کنترلهای امنیتی یا بررسی سطحی عبور کنند. - Tactic (TA0003) – Persistence
Sub-technique (T1505) – Server Software Component
کدهای مخرب از طریق افزودن گیتوی در پایگاه داده سیستم ذخیره میشوند. تا زمانی که این ورودی حذف یا اصلاح نشود، اسکریپتها بهصورت مداوم هنگام بارگذاری صفحهی Gateways توسط کاربران اجرا خواهند شد و اثر حمله پایدار باقی میماند. - Tactic (TA0004) – Privilege Escalation / TA0009 – Impact
Sub-technique (T1059.007 – Cross-Site Scripting / T1565 – Data Manipulation)
این آسیبپذیری میتواند منجر به اجرای جاوااسکریپت در مرورگر کاربران معتبر شود. در نتیجه، مهاجم قادر خواهد بود دادهها را دستکاری کند، کاربران را به سایتهای مخرب هدایت کند، یا یکپارچگی رابط کاربری را نقض نماید. اثر اصلی روی Integrity است اما میتواند تجربه کاربری و اعتماد به سیستم را نیز مختل کند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9094
- https://www.cvedetails.com/cve/CVE-2025-9094/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9094
- https://vuldb.com/?submit.626292
- https://vuldb.com/?id.320416
- https://vuldb.com/?ctiid.320416
- https://nvd.nist.gov/vuln/detail/CVE-2025-9094
- https://cwe.mitre.org/data/definitions/1336.html
- https://cwe.mitre.org/data/definitions/791.html