چندین آسیبپذیری امنیتی با شناسههای CVE-2025-2775، CVE-2025-2776 و CVE-2025-2777 (امتیاز 9.3) در نسخه داخلی on-premise نرمافزار پشتیبانی فناوری اطلاعات SysAid فاش شده است که میتواند برای دستیابی به اجرای کد از راه دور پیش از احراز هویت، تحت اکسپلویت قرار گیرد.
آسیبپذیریها به عنوان تزریق موجودیت خارجی XML (XXE) توصیف شدهاند و زمانی رخ میدهند که عامل تهدید بتواند در فرآیند تجزیه و تحلیل ورودیهای XML برنامه اختلال ایجاد کند و موجودیتهای مخرب XXE را به آن تزریق کند. این امر میتواند امکان تزریق موجودیتهای XML ناامن به وباپلیکیشن و حمله جعل درخواست سمت سرور (SSRF) و در بدترین حالت، اجرای کد از راه دور را برای نفوذگران فراهم کند. وضعیت وخیمتر زمانی رخ میدهد که آسیبپذیریهای XXE با یک آسیبپذیری از نوع تزریق دستور در سیستمعامل به شناسه CVE-2025-2778 (امتیاز 9.8)، زنجیرهسازی شوند. این ترکیب، امکان حملات RCE را برای نفوذگر فراهم میکند. هر چهار آسیبپذیری توسط SysAid با انتشار on-premise نسخه 24.4.60 b16 در مارس 2025 برطرف شدهاند. یک کد اکسپلویت PoC که ترکیبی از چهار آسیبپذیری است، در دسترس قرار گرفته است.
جزئیات سه آسیبپذیری مذکور به شرح زیر است:
- CVE-2025-2775 و CVE-2025-2776: آسیبپذیری XXE از پیش احراز هویت شده در نقطه پایانی mdm/checkin /
- CVE-2025-2777: آسیبپذیری XXE از پیش احراز هویت شده در نقطه پایانیlshw /
https://thehackernews.com/2025/05/sysaid-patches-4-critical-flaws.html
