CISA بهره‌برداری فعال از CVE-2026-25108 را تأیید کرد

آژانس امنیت سایبری و زیرساخت آمریکا (CISA) آسیب‌پذیری CVE-2026-25108 در محصول FileZen شرکت Soliton Systems K.K را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد. این نقص از نوع OS Command Injection با امتیاز CVSS v4 برابر با ۸.۷ است و به کاربر احراز هویت‌شده اجازه می‌دهد از طریق درخواست‌های HTTP دست‌کاری‌شده، فرمان دلخواه اجرا کند. طبق اعلام سازنده، بهره‌برداری تنها زمانی ممکن است که گزینه FileZen Antivirus Check فعال باشد و حداقل یک گزارش خسارت ناشی از سوءاستفاده ثبت شده است. سازمان‌ها باید به نسخه 5.0.11 یا بالاتر به‌روزرسانی کنند و در صورت احتمال نفوذ، گذرواژه‌ها را تغییر دهند. مهلت اصلاح برای نهادهای FCEB تا ۱۷ مارس ۲۰۲۶ تعیین شده است.

آژانس امنیت سایبری و زیرساخت ایالات متحده (Cybersecurity and Infrastructure Security Agency – CISA) روز سه‌شنبه اعلام کرد آسیب‌پذیری تازه‌افشاشده‌ای در محصول انتقال فایل FileZen را به فهرست Known Exploited Vulnerabilities (KEV) افزوده است. این اقدام پس از دریافت شواهد بهره‌برداری فعال از نقص مذکور انجام شده است.

آسیب‌پذیری با شناسه CVE-2026-25108 و امتیاز CVSS v4: 8.7 از نوع Operating System Command Injection است. به‌گفته CISA، در صورت ورود کاربر به محصول آسیب‌پذیر و ارسال یک درخواست HTTP دست‌کاری‌شده، امکان اجرای فرمان‌های دلخواه در سیستم‌عامل فراهم می‌شود. چنین برداری می‌تواند به اجرای کد، تغییر پیکربندی‌ها یا دسترسی غیرمجاز به داده‌ها منجر شود.

بر اساس اطلاعات منتشرشده در Japan Vulnerability Notes (JVN)، نسخه‌های زیر تحت تأثیر قرار دارند:

• نسخه‌های 4.2.1 تا 4.2.8
• نسخه‌های 5.0.0 تا 5.0.10

شرکت ژاپنی Soliton Systems K.K. در اطلاعیه امنیتی خود اعلام کرده است که بهره‌برداری موفق تنها در صورتی امکان‌پذیر است که گزینه FileZen Antivirus Check فعال باشد. این شرکت افزوده که «حداقل یک گزارش خسارت ناشی از سوءاستفاده از این آسیب‌پذیری» دریافت کرده است؛ موضوعی که اهمیت اصلاح فوری را دوچندان می‌کند.

طبق توضیحات سازنده، مهاجم برای اجرای حمله باید با یک حساب کاربری معتبر—even با سطح دسترسی عمومی—به رابط وب وارد شود. از این‌رو، هرچند نقص نیازمند احراز هویت است، اما در محیط‌هایی که حساب‌های متعدد کاربری وجود دارد یا گذرواژه‌ها به‌درستی مدیریت نشده‌اند، ریسک عملیاتی قابل‌توجهی ایجاد می‌کند.

Soliton Systems به کاربران توصیه کرده است برای کاهش ریسک، به نسخه 5.0.11 یا بالاتر ارتقا دهند. همچنین در صورت احتمال وقوع حمله یا مشاهده نشانه‌های نفوذ، علاوه بر به‌روزرسانی، تغییر همه گذرواژه‌های کاربران را به‌عنوان اقدام احتیاطی مدنظر قرار دهند؛ زیرا مهاجم می‌تواند حداقل با یک حساب واقعی وارد سامانه شود.

CISA در چارچوب دستورالعمل BOD 22-01 از نهادهای Federal Civilian Executive Branch (FCEB) خواسته است اصلاح‌های لازم را حداکثر تا ۱۷ مارس ۲۰۲۶ اعمال کنند. ورود این شناسه به KEV به معنای آن است که سازمان‌ها—اعم از دولتی و خصوصی—باید آن را در اولویت بالای برنامه مدیریت آسیب‌پذیری خود قرار دهند.

از منظر فنی، آسیب‌پذیری‌های OS Command Injection معمولاً ناشی از اعتبارسنجی ناکافی ورودی‌ها و اجرای مستقیم دستورات سیستم‌عامل با داده‌های دریافتی از کاربر هستند. در سامانه‌های انتقال فایل، چنین نقص‌هایی می‌تواند به سوءاستفاده برای بارگذاری/دانلود غیرمجاز، دسترسی به فایل‌های حساس یا حتی حرکت جانبی در شبکه منجر شود.

اقدامات پیشنهادی برای سازمان‌ها

۱) شناسایی تمام نمونه‌های FileZen در محیط عملیاتی.

۲) ارتقا فوری به نسخه 5.0.11 یا بالاتر.

۳) بازبینی لاگ‌های دسترسی وب و درخواست‌های HTTP مشکوک.

۴) تغییر گذرواژه‌های کاربران در صورت احتمال بهره‌برداری.

۵) بازبینی فعال بودن گزینه Antivirus Check و ارزیابی ریسک پیکربندی.

افزوده‌شدن CVE-2026-25108 به KEV بار دیگر نشان می‌دهد حتی نقص‌هایی که نیازمند احراز هویت هستند نیز در صورت وجود حساب‌های معتبر یا گذرواژه‌های ضعیف، می‌توانند به بردار حمله مؤثر تبدیل شوند. اولویت‌دهی به وصله‌سازی و کنترل دسترسی، همچنان خط دفاعی نخست در برابر بهره‌برداری فعال باقی می‌ماند.