در عصر دیجیتال کنونی، امنیت سایبری به یکی از ارکان اساسی حفاظت از دادهها، سرویسها و زیرساختهای حیاتی تبدیل شده است. با افزایش پیچیدگی حملات سایبری و ظهور آسیبپذیریهای جدید، ضرورت آگاهی سریع و اقدامات پیشگیرانه بیش از هر زمان دیگری احساس میشود. این بولتن خبری با هدف ارائه آخرین اطلاعات درباره تهدیدات امنیتی، آسیبپذیریهای کشفشده و راهکارهای مقابله با آنها، گامی کوچک در جهت تقویت تابآوری سازمانها و کاربران در فضای پرخطر سایبری برداشته است. همراه ما باشید تا با همبستری دانش و عمل، امنیت دیجیتال را به اولویتی غیرقابل چشمپوشی تبدیل کنیم.
۱. **آسیبپذیری XSS در فریمورک Laravel (CVE-2024-13919)**
– **تاریخ شناسایی**: ۱۴۰۴/۰۱/۰۳
– **جزئیات**:
یک آسیبپذیری بازتابی XSS با سطح خطر **بالا** در نسخههای ۱۱.۹.۰ تا ۱۱.۳۵.۱ فریمورک Laravel شناسایی شد. این آسیبپذیری در صفحه خطای دیباگ (زمانی که `APP_DEBUG=true` است) به مهاجمان اجازه تزریق کد JavaScript را میدهد.
– **محصولات آسیبپذیر**: تمام نسخههای بین ۱۱.۹.۰ تا ۱۱.۳۵.۱.
– **توصیه**: بروزرسانی به آخرین نسخه Laravel.
– **منابع**:
[۱] https://nvd.nist.gov/vuln/detail/CVE-2024-13919
—
۲. **نقص امنیتی بحرانی در Microsoft Partner Center (CVE-2025-29814)**
– **تاریخ شناسایی**: ۱۴۰۴/۰۱/۰۴
– **جزئیات**:
یک آسیبپذیری **ارتقای دسترسی** با امتیاز CVSS ۹.۳ در Microsoft Partner Center کشف شد که به مهاجمان اجازه ارتقا از کاربر عادی به مدیر سیستم را میدهد.
– **محصولات تحت تأثیر**: تمامی سیستمهای استفادهکننده از Microsoft Partner Center (نسخههای دقیق اعلام نشده).
– **توصیه**: نصب پچ امنیتی مایکروسافت و اعمال اصلاح حداقل دسترسی.
– **منابع**:
[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-29814
—
۳. **آسیبپذیری اجرای کد از راه دور در Windows RDP (CVE-2025-24045)**
– **تاریخ شناسایی**: ۱۴۰۴/۰۱/۰۳
– **جزئیات**:
یک نقص امنیتی با امتیاز CVSS ۸.۱ در سرویس Remote Desktop ویندوز شناسایی شد که ناشی از **شرایط رقابتی** در دسترسی به حافظه است. مهاجمان میتوانند دادههای حساس را استخراج یا کد مخرب را تزریق کنند.
– **نسخههای آسیبپذیر**:
– Windows Server 2019 (تا قبل از ۱۰.۰.۱۷۷۶۳.۷۰۰۹)
– Windows Server 2022 (تا قبل از ۱۰.۰.۲۰۳۴۸.۳۳۲۸)
– Windows Server 2025 (تا قبل از ۱۰.۰.۲۶۱۰۰.۳۴۷۶)
– **توصیه**: اعمال بهروزرسانیهای امنیتی مارس ۲۰۲۵ مایکروسافت.
– **منابع**:
[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-24045
[۲] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24045
—
۴. **تزریق SQL در نرمافزار EBM Maintenance Center (CVE-2025-2585)**
– **تاریخ شناسایی**: ۱۴۰۴/۰۱/۰۴
– **جزئیات**:
یک آسیبپذیری **تزریق SQL** با امتیاز CVSS ۸.۸ در نرمافزار EBM Maintenance Center شناسایی شد که به مهاجمان اجازه دستکاری پایگاه داده را میدهد.
– **محصولات تحت تأثیر**: نسخههای قبل از ۲۵.۰۴.۳۱۴۳۵.
– **توصیه**: بروزرسانی به نسخه ۲۵.۰۴.۳۱۴۳۵ یا بالاتر و استفاده از پرسوجوهای پارامتری.
– **منابع**:
[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-2585
—
**هشدار عمومی**:
– تمام سازمانها و کاربران باید **بهروزرسانیهای امنیتی** مربوط به نرمافزارها و سرویسهای خود را بلافاصله اعمال کنند.
– از فعالسازی حالت دیباگ (`APP_DEBUG=true`) در محیطهای عملیاتی خودداری شود.
– دسترسی به سرویسهای حساس (مانند RDP) باید تنها برای کاربران مجاز و با احراز هویت قوی امکانپذیر باشد.
**پایان بولتن**
با تشکر از توجه شما به امنیت سایبری! 🔒