آسیب‌پذیری‌های جدید در روترها، CMSها و سامانه‌های سازمانی

CVEهای جدید فوریه ۲۰۲۶ در روترها و سامانه‌های وب
در ۲۳ فوریه ۲۰۲۶ ده‌ها CVE جدید منتشر شد؛ از سرریز بافر در روترهای UTT و D-Link تا XSS، SSRF و DLL Hijacking در سامانه‌های وب و ERP.

فهرست تازه‌ای از آسیب‌پذیری‌های ثبت‌شده در تاریخ ۲۳ فوریه ۲۰۲۶ منتشر شده که طیفی از محصولات شبکه‌ای، سامانه‌های مدیریت محتوا، ERP، پلتفرم‌های آموزشی و کتابخانه‌های نرم‌افزاری را دربر می‌گیرد. در میان موارد برجسته، چندین سرریز بافر (Buffer Overflow) در UTT HiPER 810G و D-Link DWR-M960، آسیب‌پذیری SSRF در Tiandy Video Surveillance System، چندین مورد Unrestricted Upload و Information Disclosure در FastApiAdmin، SQL Injection در Jinher OA C6 و Cross-Site Scripting در Smart-SSO و 07FLYCMS دیده می‌شود. برخی از این ضعف‌ها با قابلیت بهره‌برداری از راه دور و انتشار عمومی اکسپلویت گزارش شده‌اند.

بر اساس داده‌های منتشرشده در تاریخ ۲۳ فوریه ۲۰۲۶، مجموعه‌ای از آسیب‌پذیری‌های جدید با شناسه‌های CVE-2026-3016 تا CVE-2026-2958 توسط CNAهای مختلف از جمله VulDB و TWCERT/CC ثبت شده‌اند. این فهرست گستره‌ای از محصولات شبکه‌ای، نرم‌افزارهای سازمانی، سامانه‌های وب و کتابخانه‌های متن‌باز را شامل می‌شود و نشان می‌دهد بردارهای کلاسیک حمله همچنان در اکوسیستم نرم‌افزار و تجهیزات شبکه فعال هستند.

سرریز بافر در تجهیزات شبکه UTT و D-Link

در حوزه تجهیزات شبکه، چندین آسیب‌پذیری سرریز بافر در UTT HiPER 810G (تا نسخه 1.7.7-171114/1711) ثبت شده است؛ از جمله CVE-2026-3016، CVE-2026-3015، CVE-2026-2981 و CVE-2026-2980 که همگی به استفاده ناامن از تابع strcpy در فایل‌های مختلف رابط مدیریتی (/goform/...) اشاره دارند. در این موارد، دستکاری پارامترهایی مانند GroupName یا passwd1 می‌تواند به Buffer Overflow منجر شود و طبق توضیحات منتشرشده، حمله از راه دور امکان‌پذیر است و اکسپلویت نیز به‌صورت عمومی افشا شده است.

به‌طور مشابه، در D-Link DWR-M960 نسخه 1.01.07 چندین آسیب‌پذیری Stack-Based Buffer Overflow (CVE-2026-2962 تا CVE-2026-2958) در اندپوینت‌های پیکربندی مانند formDateReboot، formVpnConfigSetup و formDhcpv6s گزارش شده است. این ضعف‌ها از طریق دستکاری پارامترهایی نظیر submit-url یا url قابل بهره‌برداری از راه دور هستند. چنین نقص‌هایی در تجهیزات مرزی شبکه می‌توانند به اجرای کد، اختلال سرویس یا تصاحب کامل دستگاه منجر شوند.

ضعف‌های وب‌محور: XSS، SSRF و SQL Injection

در حوزه نرم‌افزارهای سازمانی و وب، چندین آسیب‌پذیری با بردارهای متداول دیده می‌شود:

  • Tiandy Video Surveillance System 7.17.0 (CVE-2026-2985): آسیب‌پذیری Server-Side Request Forgery (SSRF) در تابع downloadImage که با دستکاری پارامتر urlPath قابل سوءاستفاده است. SSRF می‌تواند به دسترسی به منابع داخلی یا متادیتای ابری منجر شود.
  • Jinher OA C6 (CVE-2026-2963): آسیب‌پذیری SQL Injection در فایل OfficeSupplyTypeRight.aspx که امکان اجرای کوئری‌های مخرب را فراهم می‌کند.
  • Smart-SSO (CVE-2026-2972 و CVE-2026-2971): موارد Cross-Site Scripting در صفحه ویرایش نقش و صفحه لاگین با سوءاستفاده از پارامترهایی مانند redirectUri.
  • 07FLYCMS / 07FlyCRM (CVE-2026-2965): همچنین XSS در ماژول System Extension.

این دسته از ضعف‌ها همچنان از رایج‌ترین بردارهای نفوذ در سامانه‌های تحت وب محسوب می‌شوند و در صورت عدم فیلتر صحیح ورودی‌ها یا نبود سیاست‌های CSP می‌توانند به سرقت نشست کاربری، تغییر محتوا یا اجرای اسکریپت مخرب منجر شوند.

FastApiAdmin؛ چندین ضعف در آپلود و افشای اطلاعات

در FastApiAdmin تا نسخه 2.2.0 چندین آسیب‌پذیری ثبت شده است (CVE-2026-2979 تا CVE-2026-2975) که شامل Unrestricted File Upload در اندپوینت‌های مختلف Scheduled Task API و همچنین Information Disclosure در مسیرهای دانلود و مستندسازی سفارشی است. ضعف‌های آپلود بدون محدودیت می‌توانند به بارگذاری فایل مخرب و اجرای کد روی سرور منجر شوند؛ به‌ویژه در صورت عدم جداسازی صحیح مسیرها و مجوزها.

آسیب‌پذیری‌های سطح برنامه و کتابخانه

  • ERP شرکت eAI Technologies (CVE-2026-2998): آسیب‌پذیری DLL Hijacking که به مهاجم محلی احراز هویت‌شده اجازه می‌دهد با قرار دادن DLL مخرب در مسیر برنامه، کد دلخواه اجرا کند.
  • Tronclass (CVE-2026-2997): در Insecure Direct Object Reference که امکان دسترسی غیرمجاز به دوره‌ها را با دستکاری شناسه فراهم می‌کند.
  • datapizza-ai (CVE-2026-2970 و CVE-2026-2969): موارد Deserialization و عدم خنثی‌سازی مناسب عناصر ویژه در قالب‌های Jinja2.
  • Cesanta Mongoose تا نسخه 7.20 (CVE-2026-2968 تا CVE-2026-2966): نقص در بررسی امضای رمزنگاری، اعتبارسنجی منبع ارتباط و تولید مقادیر تصادفی ناکافی.
  • AliasVault App (CVE-2026-2974): افشای داده‌های حساس در shared_prefs که می‌تواند توکن‌ها و پارامترهای کلیدی را در معرض خطر قرار دهد.

جمع‌بندی فنی و پیام عملیاتی

الگوی غالب در این فهرست، تکرار ضعف‌های کلاسیک امنیت نرم‌افزار است:

  • سرریز بافر ناشی از توابع ناامن (strcpy)
  • اعتبارسنجی ناکافی ورودی (XSS/SQLi/IDOR)
  • مدیریت ضعیف آپلود فایل
  • افشای اطلاعات و SSRF
  • ضعف در مکانیزم‌های رمزنگاری یا بررسی منبع ارتباط

برای تیم‌های امنیت و فناوری اطلاعات، اقدامات فوری شامل موارد زیر است:

۱) شناسایی نسخه‌های آسیب‌پذیر در دارایی‌های شبکه و سرور.

۲) اعمال وصله(اصلاح) یا ارتقای نسخه در کوتاه‌ترین زمان ممکن.

۳) بررسی انتشار اکسپلویت عمومی برای موارد Buffer Overflow در تجهیزات شبکه.

۴) فعال‌سازی WAF و سیاست‌های سخت‌گیرانه CSP برای سامانه‌های وب.

۵) پایش لاگ‌ها جهت شناسایی رفتارهای غیرعادی در اندپوینت‌های آسیب‌پذیر.

انتشار این فهرست نشان می‌دهد که علی‌رغم پیشرفت ابزارهای تحلیل کد و DevSecOps، ضعف‌های پایه‌ای در اعتبارسنجی ورودی، مدیریت حافظه و کنترل دسترسی همچنان منشأ بخش قابل‌توجهی از CVEهای جدید هستند و به‌ویژه در تجهیزات شبکه و سامانه‌های مدیریتی، ریسک عملیاتی مستقیم ایجاد می‌کنند.

5 اسفند 1404

بازدید