دو آسیبپذیری بحرانی در ابزارهای نویسندگی یادگیری الکترونیکی Xerte Online Toolkits کشف شده است.
آسیبپذیری CVE-2026-14261 به مهاجم اجازه میدهد تا از طریق پوشه `/setup/` باقیمانده، برنامه را به سمت یک پایگاه داده راه دور تغییر جهت دهد و دسترسی اداری کسب کند.
آسیبپذیری CVE-2026-12116 نیز امکان اجرا از راه دور کد را از طریق تغییر مسیر فایل باینری آنتیویروس به مفسر PHP فراهم میکند.
نسخههای v3.15.5 و v3.14.6 این مشکلات را حل کردهاند.
کاربران باید پوشه `/setup/` را حذف کرده و به نسخههای جدید ارتقا دهند.
این آسیبپذیریها میتوانند منجر به دسترسی کامل به سرور، سرقت دادهها یا حملات زنجیرهای شوند.
متن خبر
شرح خبر
دو آسیبپذیری جدی در مجموعه ابزارهای متنباز «Xerte Online Toolkits»، که برای ایجاد محتوای آموزشی در مرورگر وب استفاده میشود، کشف شده است.
آسیبپذیری CVE-2026-14261 به دلیل باقیماندن پوشه `/setup/` پس از نصب، امکان دسترسی اداری به مهاجم را از طریق تغییر پیکربندی برنامه به سمت یک پایگاه داده راه دور فراهم میکند.
آسیبپذیری دیگر، CVE-2026-12116، به دلیل قابلیت ویرایش مسیر فایل باینری آنتیویروس، امکان اجرا از راه دور کد (RCE) را از طریق تغییر مسیر به مفسر PHP ایجاد میکند.
نسخههای v3.15.5 و v3.14.6 این آسیبپذیریها را برطرف کردهاند.
کاربران باید فوراً پوشه `/setup/` را حذف کرده و به نسخههای جدید ارتقا یابند تا از سوءاستفاده جلوگیری شود.
دو آسیبپذیری بحرانی در ابزارهای نویسندگی یادگیری الکترونیکی Xerte Online Toolkits کشف شده است.
آسیبپذیری CVE-2026-14261 به مهاجم اجازه میدهد تا از طریق پوشه `/setup/` باقیمانده، برنامه را به سمت یک پایگاه داده راه دور تغییر جهت دهد و دسترسی اداری کسب کند.
آسیبپذیری CVE-2026-12116 نیز امکان اجرا از راه دور کد را از طریق تغییر مسیر فایل باینری آنتیویروس به مفسر PHP فراهم میکند.
نسخههای v3.15.5 و v3.14.6 این مشکلات را حل کردهاند.
کاربران باید پوشه `/setup/` را حذف کرده و به نسخههای جدید ارتقا دهند.
این آسیبپذیریها میتوانند منجر به دسترسی کامل به سرور، سرقت دادهها یا حملات زنجیرهای شوند.
این آسیبپذیریها به دلیل شدت بالای خود و امکان سوءاستفاده آسان، تهدیدی جدی برای سازمانهایی هستند که از Xerte Online Toolkits استفاده میکنند.
دسترسی اداری غیرمجاز میتواند منجر به کنترل کامل بر سیستم شود و اجرا از راه دور کد امکان نفوذ عمیقتر و پایدار را فراهم میکند.
علاوه بر این، به دلیل ماهیت آموزشی این ابزار، حمله به آن میتواند تأثیرات گستردهای بر دادههای حساس و اعتبار سازمانها داشته باشد.
سازمانهای آموزشی و شرکتهایی که از Xerte Online Toolkits استفاده میکنند، در معرض خطر از دست دادن کنترل بر سیستمها، سرقت دادهها و آسیب به اعتبار خود هستند.
این آسیبپذیریها میتوانند منجر به توقف خدمات، هزینههای مالی برای بازیابی سیستمها و جبران خسارات شوند.
در ایران، سازمانها و مؤسسات آموزشی که از این ابزار استفاده میکنند، باید فوراً اقدامات امنیتی را انجام دهند تا از سوءاستفاده جلوگیری شود.
این آسیبپذیریها میتوانند توسط مهاجمینی که به دنبال دسترسی به دادههای حساس هستند، مورد سوءاستفاده قرار گیرند.
این آسیبپذیریها ممکن است منجر به نقض قوانین حفاظت از دادهها و حریم خصوصی شوند.
سازمانها موظف هستند تا اقدامات فوری برای برطرف کردن این مشکلات انجام دهند تا از جریمهها و پیگردهای قانونی جلوگیری شود.
none technical security advisory آسیبپذیریهای جدید در Xerte Online Toolkits میتوانند منجر به دسترسی غیرمجاز و اجرا از راه دور کد شوند.
فوراً اقدامات امنیتی را انجام دهید.
این صفحه خلاصه و تحلیل فارسی خبر را نمایش میدهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.
تحلیل تحریریه
ابعاد مهم خبر
چرا مهم است؟
این آسیبپذیریها به دلیل شدت بالای خود و امکان سوءاستفاده آسان، تهدیدی جدی برای سازمانهایی هستند که از Xerte Online Toolkits استفاده میکنند.
دسترسی اداری غیرمجاز میتواند منجر به کنترل کامل بر سیستم شود و اجرا از راه دور کد امکان نفوذ عمیقتر و پایدار را فراهم میکند.
علاوه بر این، به دلیل ماهیت آموزشی این ابزار، حمله به آن میتواند تأثیرات گستردهای بر دادههای حساس و اعتبار سازمانها داشته باشد.
اثر کسبوکاری
سازمانهای آموزشی و شرکتهایی که از Xerte Online Toolkits استفاده میکنند، در معرض خطر از دست دادن کنترل بر سیستمها، سرقت دادهها و آسیب به اعتبار خود هستند.
این آسیبپذیریها میتوانند منجر به توقف خدمات، هزینههای مالی برای بازیابی سیستمها و جبران خسارات شوند.
اثر احتمالی برای ایران
در ایران، سازمانها و مؤسسات آموزشی که از این ابزار استفاده میکنند، باید فوراً اقدامات امنیتی را انجام دهند تا از سوءاستفاده جلوگیری شود.
این آسیبپذیریها میتوانند توسط مهاجمینی که به دنبال دسترسی به دادههای حساس هستند، مورد سوءاستفاده قرار گیرند.
ارتباط با LegalTech
این آسیبپذیریها ممکن است منجر به نقض قوانین حفاظت از دادهها و حریم خصوصی شوند.
سازمانها موظف هستند تا اقدامات فوری برای برطرف کردن این مشکلات انجام دهند تا از جریمهها و پیگردهای قانونی جلوگیری شود.
زاویه رسانه/کشور منبع
technical security advisory
پوشش چند منبعی
این خبر در منابع دیگر
کشف دو آسیبپذیری بحرانی در برنامه پرداخت موبایلی PayRange: خطر رهگیری دادهها و تزریق کد JavaScriptCERT/CC Vulnerability Notes · US · enمشاهده در سایت
آسیبپذیریهای بحرانی در پلتفرم بدون کد ادالو: افشای دادههای کاربری بیش از یک میلیون برنامهCERT/CC Vulnerability Notes · US · enمشاهده در سایت
کشف در پشتی احراز هویت در فرمور روترهای تندا: دسترسی مدیریتی بدون اعتبارنامه معتبرCERT/CC Vulnerability Notes · US · enمشاهده در سایت