
HPE در اطلاعیه خود اعلام کرد: “این آسیبپذیریها میتوانند از راه دور مورد سوءاستفاده قرار گیرند و امکان اجرای کد از راه دور، افشای اطلاعات، جعل درخواست سمت سرور، دور زدن احراز هویت، حذف دلخواه فایلها و افشای اطلاعات از طریق پیمایش دایرکتوری را فراهم کنند.”
یکی از این موارد، رفع یک نقص امنیتی بحرانی با شناسه CVE-2025-37093 است که امتیاز 9.8 از 10 در سیستم امتیازدهی CVSS دریافت کرده است. این آسیبپذیری به عنوان یک باگ دور زدن احراز هویت توصیف شده که تمام نسخههای نرمافزار قبل از 4.3.11 را تحت تأثیر قرار میدهد.
این آسیبپذیری به همراه سایر موارد در تاریخ 31 اکتبر 2024 به شرکت سازنده گزارش شد. بر اساس گزارش Zero Day Initiative (ZDI) که یک محقق ناشناس را برای کشف و گزارش این نقص معرفی کرد، مشکل در پیادهسازی متد machineAccountCheck ریشه دارد.
ZDI توضیح داد: “این مشکل ناشی از پیادهسازی نامناسب یک الگوریتم احراز هویت است. مهاجم میتواند از این آسیبپذیری برای دور زدن احراز هویت در سیستم استفاده کند.”
بهرهبرداری موفق از CVE-2025-37093 میتواند به مهاجم از راه دور اجازه دهد تا احراز هویت را در نصبهای آسیبپذیر دور بزند. آنچه این آسیبپذیری را شدیدتر میکند این است که میتواند با سایر نقصها ترکیب شود تا اجرای کد، افشای اطلاعات و حذف دلخواه فایلها در سطح دسترسی root انجام شود.
فهرست کامل آسیبپذیریها:
• CVE-2025-37089: اجرای کد از راه دور
• CVE-2025-37090: جعل درخواست سمت سرور
• CVE-2025-37091: اجرای کد از راه دور
• CVE-2025-37092: اجرای کد از راه دور
• CVE-2025-37093: دور زدن احراز هویت
• CVE-2025-37094: حذف دلخواه فایل از طریق پیمایش دایرکتوری
• CVE-2025-37095: افشای اطلاعات از طریق پیمایش دایرکتوری
• CVE-2025-37096: اجرای کد از راه دور
این افشاگری در حالی صورت میگیرد که HPE همچنین وصلههایی برای رفع چندین نقص با شدت بحرانی در HPE Telco Service Orchestrator (با شناسه CVE-2025-31651 و امتیاز CVSS: 9.8) و OneView (با شناسههای CVE-2024-38475 و CVE-2024-38476 و امتیاز CVSS: 9.8) منتشر کرده است. این وصلهها ضعفهای قبلاً افشا شده در Apache Tomcat و Apache HTTP Server را برطرف میکنند.
در حالی که هیچ گزارشی از بهرهبرداری فعال وجود ندارد، ضروری است که کاربران آخرین بهروزرسانیها را برای حفاظت بهینه اعمال کنند.
کلمات کلیدی : آسیبپذیری HPE, StoreOnce, احراز هویت, اجرای کد از راه دور, CVE-2025-37093, بهروزرسانی امنیتی
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.