🚨CVE-2025-10535
⭐ CVSS : 7.5

🔐آسیب‌پذیری افشای اطلاعات (Information Disclosure) و دور زدن مکانیزم‌های حفاظتی (Mitigation Bypass) در کامپوننت حریم خصوصی (Privacy) مرورگر Firefox برای اندروید شناسایی شده است. این ضعف و...

#CVE_2025_10535 #Information_Disclosure #Mitigation_Bypass #Firefox_Android #Privacy_Component #CWE_200 #افشای_اطلاعات #دور_زدن_حریم_خصوصی #فایرفاکس_اندروید

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-10535

🚨CVE-2025-10581
⭐ CVSS : 7.8

🔐آسیب‌پذیری DLL Hijacking در Lenovo PC Manager نسخه‌های پیش از 5.1.140.9262 به دلیل جستجوی کنترل‌نشده مسیر DLL رخ می‌دهد. این ضعف امنیتی می‌تواند به یک کاربر و...

#CVE_2025_10581 #Lenovo_PC_Manager #DLL_Hijacking #Privilege_Escalation #CWE_427 #Local_Attack #DLL_Search_Path #Code_Execution #افزایش_دسترسی #اجرای_کد_با_دسترسی_بالا #لنوو

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-10581

📢 اخبار سایبری

🚨 هشدار مهم برای تیم‌های امنیت سازمانی!
کوآنتوم وارد محیط‌های عملیاتی شده بدون اینکه خیلی‌ها متوجه شوند.

نرم‌افزارهای الهام گرفته از کوآنتوم‌ همین حالا در صنایع حساس استفاده می‌شوند، اما چارچوب‌های امنیتی فعلی اصلاً برای این مدل از محاسبات طراحی نشده‌اند.

تهدید «جمع آوری اطلاعات از حالا، رمزگشایی بعداً» واقعی‌تر از همیشه است.

تحلیل کامل Vulnerbyte از چالش‌ها و پرسش‌های حیاتی برای CISOها را از دست ندهید.

#QuantumSecurity #PQC #Cybersecurity #CISO #Vulnerbyte #Cybersecurity_News #اخبار_امنیت_سایبری #امنیت_کوآنتومی #رمزنگاری_پساکوآنتومی #زیرساخت‌های_کوآنتومی

https://vulnerbyte.com/cisos-should-be-asking-these-quantum-questions-today/

🚨CVE-2025-10580
⭐ CVSS : 6.4

🔐آسیب‌پذیری XSS ذخیره شده در پلاگین Widget Options برای وردپرس، به دلیل عدم پاک‌سازی و خروجی سازی کافی ورودی‌ها در چندین تابع رخ می‌دهد. این ضعف به مهاجمان و...

#CVE_2025_10580 #Widget_Options #WordPress_Plugin #Stored_XSS #Authenticated_XSS #CWE_79 #Gutenberg_Blocks #Contributor_Access #ذخیره_شده_XSS #پلاگین__وردپرس #ویجت_آپشنز #تزریق_اسکریپت

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-10580

📢 اخبار سایبری

🔴 کمپین JS#SMUGGLER فعال شد!
مهاجمان با سوءاستفاده از سایت‌های آلوده، یک زنجیره چندمرحله‌ای مبتنی بر جاوااسکریپت → HTA → PowerShell ایجاد کرده‌اند تا NetSupport RAT را روی سیستم قربانی نصب کنند.

این حمله با شاخه‌سازی دستگاه، iframe مخفی و اجرای فایل‌لس طراحی شده.

در کنار آن، CHAMELEON#NET هم با فیشینگ چندمرحله‌ای Formbook را به‌صورت کامل در حافظه لود می‌کند.

#بدافزار #حمله_چندسویه #PowerShell_بدافزاری #HTA #سایت_آلوده #امنیت_سایبری #تحلیل_بدافزار #Cybersecurity #Cybersecurity_News #اخبار_امنیت_سایبری #CyberAttack #JavaScriptLoader #mshtaAbuse #PowerShellStager #MalwareAnalysis #MultiStageAttack

♨️ جزئیات در گزارش Vulnerbyte
https://vulnerbyte.com/experts-confirm-jssmuggler-uses-compromised-sites-to-deploy-netsupport-rat/

🚨CVE-2025-12744
⭐ CVSS : 8.8

🔐آسیب‌پذیری تزریق دستور (Command Injection) در دایمون ABRT به دلیل عدم اعتبارسنجی صحیح ورودی های کاربر در پردازش اطلاعات مربوط به mount کانتینرها رخ می‌دهد. این ضعف به مهاجمان و...

#CVE_2025_12744 #ABRT #Command_Injection #Local_Privilege_Escalation #Red_Hat #CWE_78 #Docker #RHEL #تزریق_دستور #افزایش_دسترسی #لینوکس #ردهت

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-12744

🚨CVE-2025-11695
⭐ CVSS : 8.0

🔐 آسیب‌پذیری اعتبارسنجی نادرست گواهی‌های TLS در MongoDB Rust Driver نسخه‌های پیش از 3.2.5 زمانی رخ می‌دهد که پارامتر tlsInsecure=False در رشته اتصال، اعتبارسنجی گواهی را به صورت غیرمنتظره و...

#CVE_2025_11695 #MongoDB_Rust_Driver #Improper_Certificate_Validation #tlsInsecure #Connection_String #اعتبارسنجی_نادرست_گواهی #مانگو‌دی‌بی #CWE_295

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-11695

🚨CVE-2025-10622
⭐ CVSS : 8.0

🔐آسیب‌پذیری تزریق دستور سیستم‌عامل (OS Command Injection) در کامپوننت Foreman نسخه 3.12.0.8-1 نرم‌افزار Red Hat Satellite نسخه 6.16.5.2، به دلیل عدم اعتبارسنجی مناسب و...

#CVE_2025_10622 #Red_Hat_Satellite #Foreman #OS_Command_Injection #ct_location #fcct_location #Whitelist_Bypass #CWE_602 #Arbitrary_Command_Execution #CWE_78 #تزریق_دستور_سیستم_عامل #دور_زدن_لیست_سفید #اجرای_دستورات_دلخواه #لینوکس #ردهت

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-10622

🚨CVE-2025-12848
⭐ CVSS : 7.0

🔐آسیب‌پذیری Cross-Site Scripting (XSS) در ماژول Webform Multiple File Upload در سیستم مدیریت محتوای Drupal به دلیل عدم پاک‌سازی صحیح نام فایل‌ها در رندرر(renderer) فایل‌ها رخ می‌دهد. مهاجم و...

#CVE_2025_12848 #Drupal_7 #Webform_Multiple_File_Upload #XSS #Malicious_Filename #jquery_MultiFile #CWE_79 #Cross_site_Scripting #دروپال_7 #اجرای_اسکریپت_دلخواه

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-12848

📢 اخبار سایبری

🎯 جنگ پنهان بین دو نوع CISO!

خیلی از سازمان‌ها بدون اینکه بفهمن، اشتباه‌ترین مدل رهبر امنیتی رو انتخاب می‌کنن — و نتیجه‌اش تبدیل میشه به هک‌هایی مثل سرقت ۱.۵ میلیارد دلاری Bybit.

🔻 ماجرا چیه؟
مدیران CISO مهندسی‌گرا فکر می‌کنن معماری تمیز و کنترل‌های سخت کافیه.
ولی اصل ریسک منتقل میشه به جاهایی که کمتر دیده میشه:
Pipeline، Glue Code، دسترسی‌ها، فرآیندها...

🔻 مدل درست چیه؟
مدیر CISO جامع‌نگر که امنیت رو سیستماتیک می‌بینه — انسان، فرآیند و فناوری با هم.

#Holistic_CISO #Engineer_CISO #CyberSecurity #InfoSec #AIsecurity #RiskManagement #CyberResilience #ThreatModeling #AppSec #Leadership #Cybersecurity_News #اخبار_امنیت_سایبری

این مقاله میگه:
قفل قوی بساز ولی درب پوسیده رو فراموش نکن👇
https://vulnerbyte.com/a-tale-of-two-cisos-why-an-engineering-focused-ciso-can-be-a-liability/

🚨CVE-2025-7195
⭐ CVSS : 5.2

🔐آسیب‌پذیری در Operator-SDK ناشی از پیکربندی نادرست سطح دسترسی فایل ‎ /etc/passwd در مرحله‌ی ساخت تصویر کانتینر است. در نسخه‌های پیش از 0.15.2، اسکریپت user_setup این فایل حیاتی و...

#CVE_2025_7195 #Operator_SDK #_etc_passwd #group_writable #Privilege_Escalation #CWE_276 #RedHat #OpenShift #kubernetes_operator #دسترسی_بالا #کانتینر #اپراتور_کوبزنتیز #فایل_پسورد #افزایش_دسترسی

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-7195

🚨CVE-2025-13639
⭐ CVSS : 8.1

🔐آسیب‌پذیری در کامپوننت WebRTC مرورگر گوگل کروم به دلیل پیاده سازی نادرست و محدودسازی ناکافی ورودی‌ها رخ می‌دهد. این ضعف به مهاجم از راه دور اجازه می‌دهد و...

#CVE_2025_13639 #Google_Chrome #WebRTC #Inappropriate_Implementation #XSS #Arbitrary_Read_Write #crafted_HTM_page #CWE_79 #Linux #Windows #Mac #گوگل_کروم #خواندن_نوشتن_دلخواه #پیاده‌سازی_نادرست

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13639

🚨CVE-2025-13032
⭐ CVSS : 9.9

🔐آسیب‌پذیری بحرانی در درایور کرنل محیط سندباکس آنتی‌ویروس‌های Avast و AVG به‌دلیل وجود ضعف double fetch (نوعی Race Condition) رخ می‌دهد. این ضعف باعث ایجاد و...

#CVE_2025_13032 #Avast_Antivirus #AVG_Antivirus #Double_Fetch #TOCTOU_Race_Condition #Heap_Overflow #Privilege_Escalation #CWE_367 #sandbox_kernel_driver #Windows #آنتی_ویروس_آواست #ایوی_جی #افزایش_دسترسی #شرایط_رقابتی

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13032

🚨CVE-2025-13305
⭐ CVSS : 8.8

🔐آسیب‌پذیری سرریز بافر (Buffer Overflow) در روترهای D-Link شامل مدل‌های DWR-M920، DWR-M921، DWR-M960، DIR-822K و DIR-825M با نسخه فریم‌ور 1.01.07 شناسایی شده است. این ضعف و...

#CVE_2025_13305 #D_Link #Buffer_Overflow #formTracerouteDiagnosticRun #RCE #DoS #PoC #CWE_120 #CWE_119 #Memory_Corruption #host #سرریز_بافر #اجرای_کد_از_راه_دور #انکار_سرویس #روتر_دی_لینک

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13305

📢 اخبار سایبری

🚨 هشدار جدید باج‌افزارها!

چندین گروه باج‌افزاری از یک سرویس به نام Shanya EXE packer استفاده می‌کنن تا EDR Killerها رو بدون هیچ ردپایی روی دیسک اجرا کنن! 😳

📌 همه‌چیز تو حافظه انجام میشه
📌 بخشی از DLLهای ویندوز دستکاری میشن
📌 ابزار EDR قبل از هرکاری خاموش میشه
📌 از درایورهای معتبر برای دسترسی کرنل سوءاستفاده میشه

گروه‌هایی مثل Akira، Medusa، Crytox از این سرویس استفاده می‌کنن.

این یکی از پیچیده‌ترین ترفندهای باج‌افزاری ۲۰۲۵ محسوب میشه. 🔥
تحلیل Sophos نشان می‌دهد مهاجمان با سوءاستفاده از درایورهای معیوب مانند ThrottleStop.sys و یک درایور امضانشده، امنیت سیستم را از سطح کرنل مختل می‌کنند.

پیامد اصلی: افزایش موفقیت عملیات باج‌افزاری و سخت‌ترشدن تحلیل بدافزار.

#CyberSecurity #Ransomware #EDR #ThreatIntel #MalwareAnalysis
#Vulnerbyte

https://vulnerbyte.com/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/

🚨CVE-2025-13836
⭐ CVSS : 6.3

🔐آسیب‌پذیری در ماژول http.client از کتابخانه استاندارد CPython باعث می‌شود کلاینت هنگام خواندن پاسخ HTTP (بدون تعیین اندازه خواندن) بر اساس مقدار هدر Content‑Length حافظه زیادی و...

#CVE_2025_13836 #Excessive_Read_Buffering_DoS #http_client #CPython #Content_Length #OOM #CWE_400 #انکار_سرویس #سی‌پایتون #مصرف_بیش_از_حد_حافظه

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13836

🚨CVE-2025-13304
⭐ CVSS : 8.8

🔐آسیب‌پذیری سرریز بافر (Buffer Overflow) در روترهای D-Link شامل مدل‌های DWR‑M920، DWR‑M921، DWR‑M960، DWR‑M961 و DIR‑825M با نسخه‌های فریم‌ور و...

#CVE_2025_13304 #D_Link #Buffer_Overflow #formPingDiagnosticRun #RCE #PoC #DoS #CWE_120 #CWE_119 #Memory_Corruption #host #سرریز_بافر #اجرای_کد_از_راه_دور #انکار_سرویس #روتر_دی_لینک

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13304

🚨CVE-2025-13947
⭐ CVSS : 7.4

🔐آسیب‌پذیری در WebKitGTK به‌دلیل ضعف در اعتبارسنجی منشأ عملیات drag‑and‑drop رخ می‌دهد. در این حالت، یک وب‌سایت مخرب می‌تواند کاربر را ترغیب کند تا فایلی را داخل مرورگر بکشد و...

#CVE_2025_13947 #User_Assisted_Information_Disclosure #Drag_and_Drop #WebKitGTK #webkit2gtk3 #Red_Hat_Enterprise_Linux #افشای_اطلاعات

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-13947

🚨CVE-2025-1677
⭐ CVSS : 6.5

🔐آسیب‌پذیری انکار سرویس (DoS) در GitLab CE/EE به دلیل تخصیص منابع بدون محدودیت می‌باشد. در این وضعیت، مهاجم احراز هویت‌شده با دسترسی پایین می‌تواند با ارسال پیلودهای بسیار بزرگ و...

#CVE_2025_1677 #GitLab #DoS #CI_Pipeline_Export #Oversized_Payload #CWE_770 #Denial_of_Service #Resource_Exhaustion #گیت‌لب #انکار_سرویس #مصرف_منابع #تخصیص_منابع_بدون_محدودیت

📛 @vulnerbyte

📌 مشاهده جزئیات کامل در وب‌سایت Vulnerbyte

https://vulnerbyte.com/cve-2025-1677

📢 اخبار سایبری

🎯 آخرین Patch Tuesday سال ۲۰۲۵ با ۵۶ پچ امنیتی منتشر شد!

مایکروسافت برای ۵۶ آسیب‌پذیری پچ ارائه کرد؛ از جمله:

- یک آسیب‌پذیری دارای سوءاستفاده فعال (CVE-2025-62221)

- دو Zero-Day مهم در PowerShell و GitHub Copilot

- ۲۹ مورد Privilege Escalation

- ۱۸ مورد RCE

شناسه CVE-2025-62221 در Minifilter ویندوز می‌تواند به مهاجم اجازه دهد به SYSTEM ارتقا پیدا کند — حتی روی سیستم‌هایی که OneDrive یا Google Drive نصب نیست.

آژانس CISA این نقص را وارد KEV کرده و پچ فوری را الزامی دانسته است.

علاوه بر این، مجموعه آسیب‌پذیری‌های مرتبط با IDEsaster نشان می‌دهد Agentهای هوش مصنوعی در IDEها سطح حمله را بزرگ‌تر کرده‌اند.

🔐 توصیه امنیتی:

پچ‌های ویندوز و PowerShell را اعمال کنید

سیاست اجرای اسکریپت و شبکه‌های سازمانی را بازبینی کنید

فعالیت‌های مربوط به Agentها و LLM-integrated IDEها را مانیتور کنید

#Microsoft #PatchTuesday #ZeroDay #WindowsSecurity #ThreatIntel #Vulnerbyte #Cybersecurity #Cybersecurity_News #اخبار_امنیت_سایبری #PatchTuesday #Microsoft #ZeroDay #Windows #ThreatIntel #Vulnerabilities

https://vulnerbyte.com/microsoft-issues-security-fixes-for-56-flaws-including-active-exploit-and-two-zero-days/