آژانس امنیت سایبری و زیرساخت آمریکا (CISA) روز دوشنبه دو آسیب‌پذیری امنیتی بحرانی را که بر پلتفرم Erlang/Open Telecom (OTP) SSH و Roundcube تأثیر می‌گذارند، به کاتالوگ آسیب‌پذیری‌های شناخته شده در حال بهره‌برداری (KEV) خود اضافه کرد. این اقدام بر اساس شواهدی از بهره‌برداری فعال از این آسیب‌پذیری‌ها صورت گرفته است.

آسیب‌پذیری‌های مورد نظر عبارتند از:

CVE-2025-32433 با امتیاز CVSS برابر 10.0: این آسیب‌پذیری مربوط به عدم احراز هویت برای یک عملکرد حیاتی در سرور SSH پلتفرم Erlang/OTP است. مهاجم می‌تواند بدون داشتن اعتبارنامه معتبر، دستورات دلخواه را اجرا کند که این امر می‌تواند منجر به اجرای کد از راه دور بدون احراز هویت شود. این مشکل در آوریل 2025 در نسخه‌های OTP-27.3.3، OTP-26.2.5.11 و OTP-25.3.2.20 برطرف شده است.

CVE-2024-42009 با امتیاز CVSS برابر 9.3: این آسیب‌پذیری نوعی حمله Cross-Site Scripting (XSS) در RoundCube Webmail است. مهاجم از راه دور می‌تواند با ارسال یک ایمیل ساختگی و با سوءاستفاده از مشکل پاکسازی نامناسب در فایل program/actions/mail/show.php، ایمیل‌های قربانی را سرقت و ارسال کند. این آسیب‌پذیری در آگوست 2024 در نسخه‌های 1.6.8 و 1.5.8 رفع شده است.

در حال حاضر جزئیاتی درباره نحوه بهره‌برداری از این دو آسیب‌پذیری در محیط واقعی و اینکه چه کسانی از آنها استفاده می‌کنند، منتشر نشده است. ماه گذشته، شرکت ESET فاش کرد که گروه تهدید APT28 که به روسیه مرتبط است، از چندین آسیب‌پذیری XSS در Roundcube، Horde، MDaemon و Zimbra برای هدف قرار دادن نهادهای دولتی و شرکت‌های دفاعی در اروپای شرقی استفاده کرده است. مشخص نیست که آیا سوءاستفاده از CVE-2024-42009 به این فعالیت‌ها مربوط است یا موضوع دیگری است.

بر اساس داده‌های Censys، در حال حاضر 340 سرور Erlang در معرض دید عموم قرار دارند، هرچند باید توجه داشت که لزوماً همه این موارد در برابر این آسیب‌پذیری آسیب‌پذیر نیستند. پس از افشای عمومی CVE-2025-32433، به سرعت چندین کد اثبات مفهوم (PoC) برای بهره‌برداری از آن منتشر شده است.

با توجه به بهره‌برداری فعال از این آسیب‌پذیری‌ها، آژانس‌های اجرایی فدرال غیرنظامی (FCEB) موظف هستند تا 30 ژوئن 2025 اصلاحات لازم را برای حفاظت بهینه اعمال کنند.

در همین حال، Patchstack یک آسیب‌پذیری وصله نشده برای تصاحب حساب کاربری در افزونه PayU CommercePro برای وردپرس (CVE-2025-31022 با امتیاز CVSS برابر 9.8) را شناسایی کرده است. این آسیب‌پذیری به مهاجم امکان می‌دهد بدون هیچ‌گونه احراز هویت، کنترل هر کاربر سایت را به دست بگیرد. این موضوع زمانی عواقب جدی خواهد داشت که مهاجم بتواند حساب مدیر را تصاحب کند و به او اجازه دهد کنترل کامل سایت را به دست گرفته و اقدامات مخرب انجام دهد.

این آسیب‌پذیری بر نسخه‌های 3.8.5 و قبل از آن تأثیر می‌گذارد. این افزونه بیش از 5000 نصب فعال دارد. مشکل مربوط به تابعی به نام “update_cart_data()” است که از یک نقطه پایانی به نام “/payu/v1/get-shipping-cost” فراخوانی می‌شود. این نقطه پایانی بررسی می‌کند که آیا آدرس ایمیل ارائه شده وجود دارد یا خیر، و در صورت وجود، سفارش تجارت الکترونیک را برای پرداخت پردازش می‌کند.

اما از آنجا که این نقطه پایانی یک توکن معتبر مرتبط با یک آدرس ایمیل کدگذاری شده ثابت (“commerce.pro@payu[.]in”) را بررسی می‌کند و یک REST API دیگر برای تولید توکن احراز هویت برای یک ایمیل مشخص (“/payu/v1/generate-user-token”) وجود دارد، مهاجم می‌تواند از این رفتار سوءاستفاده کرده و توکن مربوط به “commerce.pro@payu[.]in” را به دست آورد و با ارسال درخواست به “/payu/v1/get-shipping-cost” هر حساب کاربری را تصاحب کند.

به کاربران توصیه می‌شود تا زمان انتشار وصله برای این آسیب‌پذیری، افزونه را غیرفعال و حذف کنند. Patchstack تأکید کرد: “ضروری است اطمینان حاصل شود که نقاط پایانی REST API بدون احراز هویت بیش از حد مجاز نیستند و دسترسی بیشتری به کاربران نمی‌دهند. همچنین، کدگذاری ثابت اطلاعات حساس یا پویا مانند آدرس‌های ایمیل برای استفاده در موارد دیگر در کد، توصیه نمی‌شود.”