تضيف CISA عيوب Gladinet وCWP إلى كتالوج KEV وسط أدلة الاستغلال النشطة

05 نوفمبر 2025رافي لاكشمانانالضعف / أمن الشبكات

وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الثلاثاء وأضاف ثغرتان أمنيتان تؤثران على Gladinet وControl Web Panel (CWP) ونقاط الضعف المستغلة المعروفة (كيف) الكتالوج، مشيرًا إلى أدلة على الاستغلال النشط في البرية.

نقاط الضعف المعنية مذكورة أدناه –

• CVE-2025-11371 (درجة CVSS: 7.5) – ثغرة أمنية في الملفات أو الأدلة التي يمكن لأطراف خارجية الوصول إليها في Gladinet CentreStack وTriofox والتي قد تؤدي إلى الكشف غير المقصود عن ملفات النظام.
• CVE-2025-48703 (درجة CVSS: 9.0) – ثغرة أمنية في حقن أوامر نظام التشغيل في لوحة ويب التحكم (لوحة ويب CentOS سابقًا) والتي تؤدي إلى تنفيذ تعليمات برمجية عن بعد غير مصادق عليها عبر أحرف shell الأولية في المعلمة t_total في طلب تغيير Perm لمدير الملفات.

ويأتي هذا التطوير بعد أسابيع من إعلان شركة الأمن السيبراني Huntress أنها اكتشفت محاولات استغلال نشطة تستهدف CVE-2025-11371، مع قيام جهات تهديد غير معروفة بالاستفادة من الخلل لتشغيل أوامر الاستطلاع (على سبيل المثال، ipconfig /all) التي تم تمريرها في شكل حمولة مشفرة Base64.

ومع ذلك، لا توجد حاليًا تقارير عامة حول كيفية استخدام CVE-2025-48703 كسلاح في الهجمات الواقعية. ومع ذلك، تمت مشاركة التفاصيل الفنية للخلل من قبل الباحث الأمني ​​ماكسيم رينودو في يونيو 2025، بعد وقت قصير من تصحيحه في الإصدار 0.9.8.1205 بعد الكشف المسؤول في 13 مايو.

“إنه يسمح للمهاجم البعيد الذي يعرف اسم مستخدم صالحًا على مثيل CWP بتنفيذ أوامر عشوائية مصادق عليها مسبقًا على الخادم،” Rinaudo قال.

في ضوء الاستغلال النشط، يتعين على وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) تطبيق الإصلاحات اللازمة بحلول 25 نوفمبر 2025، لتأمين شبكاتها.

تأتي إضافة العيبين إلى كتالوج KEV في أعقاب تقارير من Wordfence حول استغلال الثغرات الأمنية الحرجة التي تؤثر على ثلاثة مكونات إضافية وموضوعات WordPress –

• CVE-2025-11533 (درجة CVSS: 9.8) – ثغرة أمنية في تصعيد الامتيازات في WP Freeio والتي تتيح للمهاجم غير المصادق أن يمنح نفسه امتيازات إدارية عن طريق تحديد دور المستخدم أثناء التسجيل.
• CVE-2025-5397 (درجة CVSS: 9.8) – ثغرة أمنية في تجاوز المصادقة في Noo JobMonster والتي تتيح للمهاجمين غير المصادقين تجاوز المصادقة القياسية والوصول إلى حسابات المستخدمين الإدارية، بافتراض تمكين تسجيل الدخول الاجتماعي على الموقع.
• CVE-2025-11833 (درجة CVSS: 9.8) – عدم وجود عمليات فحص التفويض في Post SMTP مما يتيح للمهاجم غير المصادق عرض سجلات البريد الإلكتروني، بما في ذلك رسائل البريد الإلكتروني لإعادة تعيين كلمة المرور، وتغيير كلمة المرور لأي مستخدم، بما في ذلك المسؤول، مما يسمح بالاستيلاء على الموقع.

يُنصح مستخدمو موقع WordPress الذين يعتمدون على المكونات الإضافية والموضوعات المذكورة أعلاه، بتحديثها إلى الإصدار الأحدث في أسرع وقت ممكن، واستخدام كلمات مرور قوية، وتدقيق المواقع بحثًا عن علامات البرامج الضارة أو وجود حسابات غير متوقعة.