خانه » 🔥 پنج آسیب‌پذیری جدید اکسپلویت شده در فهرست CISA؛ مایکروسافت و اوراکل در میان اهداف!
آسیب پذیری و وصله‌های امنیتی

🔥 پنج آسیب‌پذیری جدید اکسپلویت شده در فهرست CISA؛ مایکروسافت و اوراکل در میان اهداف!

توسط Vulnerbyte_News
نوشته شده توسط Vulnerbyte_News 25 بازدید
Five New Exploited Bugs Land in CISA's Catalog — Oracle and Microsoft Among Targets گروه والنربایت vulnerbyte

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز دوشنبه پنج آسیب‌پذیری جدید را به فهرست آسیب‌پذیری‌های شناخته‌شده و اکسپلویت شده (KEV) اضافه کرد.
در این میان، CISA تأیید کرد که آسیب‌پذیری اخیر در Oracle E-Business Suite (EBS) با شناسه CVE-2025-61884 در حملات واقعی مورد استفاده قرار گرفته است.

این نقص امنیتی با امتیاز CVSS برابر 7.5 یک آسیب‌پذیری SSRF (Server-Side Request Forgery) در مؤلفه‌ی Runtime از Oracle Configurator است که به مهاجمان اجازه می‌دهد بدون احراز هویت به داده‌های حساس دسترسی پیدا کنند.
CISA در بیانیه‌ای گفت:

«این آسیب‌پذیری به‌صورت از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری است.»

پیش‌تر نیز نقص دیگری در Oracle EBS با شناسه CVE-2025-61882 و امتیاز بحرانی 9.8 شناسایی شده بود که امکان اجرای کد دلخواه را برای مهاجمان ناشناس فراهم می‌کرد.
طبق گزارش Google Threat Intelligence Group (GTIG) و Mandiant، ده‌ها سازمان پیش‌تر در نتیجه‌ی سوءاستفاده از این آسیب‌پذیری‌ها تحت تأثیر قرار گرفته‌اند.

زَندِر وُرک، مهندس ارشد امنیتی در GTIG گفت:

«در حال حاضر نمی‌توانیم حملات را به بازیگر خاصی نسبت دهیم، اما به‌احتمال زیاد بخشی از این فعالیت‌ها توسط گروه‌هایی انجام شده که اکنون با نام باج‌افزاری Cl0p فعالیت می‌کنند.»

🧩 سایر آسیب‌پذیری‌های افزوده‌شده به فهرست CISA:

  1. CVE-2025-33073 — با امتیاز 8.8
    نقص کنترل دسترسی نادرست در Microsoft Windows SMB Client که می‌تواند منجر به ارتقای سطح دسترسی شود.
    (توسط مایکروسافت در ژوئن ۲۰۲۵ رفع شد.)

  2. CVE-2025-2746 — با امتیاز 9.8
    آسیب‌پذیری عبور از احراز هویت از طریق مسیر جایگزین در Kentico Xperience CMS که مهاجم می‌تواند با سوءاستفاده از نحوه‌ی مدیریت رمز عبور در سرور Sync، کنترل اشیای مدیریتی را به دست گیرد.
    (رفع‌شده در مارس ۲۰۲۵.)

  3. CVE-2025-2747 — با امتیاز 9.8
    نقص مشابه در Kentico Xperience CMS با سوءاستفاده از نوع None در سرور Sync.
    (رفع‌شده در مارس ۲۰۲۵.)

  4. CVE-2022-48503 — با امتیاز 8.8
    آسیب‌پذیری اعتبارسنجی نادرست شاخص آرایه در مؤلفه‌ی JavaScriptCore اپل که می‌تواند به اجرای کد دلخواه هنگام پردازش محتوای وب منجر شود.
    (رفع‌شده در جولای ۲۰۲۲.)

در حال حاضر جزئیات دقیقی از چگونگی سوءاستفاده از چهار آسیب‌پذیری اخیر منتشر نشده است، اما اطلاعات مربوط به CVE-2025-33073، CVE-2025-2746 و CVE-2025-2747 توسط پژوهشگران Synacktiv و watchTowr Labs افشا شده است.

طبق دستور CISA، تمامی سازمان‌های دولتی فدرال آمریکا باید تا تاریخ ۱۰ نوامبر ۲۰۲۵ این آسیب‌پذیری‌ها را پچ کنند تا از نفوذهای فعال جلوگیری شود.

منابع:

https://thehackernews.com/2025/10/five-new-exploited-bugs-land-in-cisas.html

همچنین ممکن است دوست داشته باشید

🧱 آسیب‌پذیری بحرانی در WatchGuard Fireware: امکان کنترل...

🎯 هکرها از آسیب‌پذیری SNMP در Cisco برای...

مایکروسافت خطرناک‌ترین نقص امنیتی تاریخ ASP.NET Core را...

آخرین به‌روزرسانی Patch Tuesday ویندوز ۱۰ منتشر شد؛...

هشدار اوراکل: آسیب‌پذیری روز صفر در E-Business Suite...

باگ جدید در Microsoft Defender هشدار اشتباه برای...

آسیب‌پذیری بحرانی در WD My Cloud امکان اجرای...

شرکت Broadcom باگ‌های خطرناک VMware NSX را که...

نفوذ پیشرفته به فایروال‌های Cisco: بدافزارهای RayInitiator و...

SolarWinds پچ فوری برای آسیب‌پذیری حیاتی CVE-2025-26399 منتشر...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×