مرجع دی ان ان فارسی / دی ان ان پلاس
Search

دسته بندی موضوعی

تگ های بلاگ

آرشیو بلاگ دی ان ان پلاس

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

2 بازدید
0 نظر
پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

🔒 پچ امنیتی CKEditor در دی‌ان‌ان،

رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095 بدون ارتقای هسته

 


 

منابع رسمی: GitHub (GHSA)  |  NVD – CVE-2025-64095  |  گزارش مرکز ماهر
 

یک آسیب‌پذیری بسیار خطرناک در مؤلفه CKEditorProvider با شناسه CVE-2025-64095 گزارش شده است که با شدت Critical (10 از 10) ارزیابی گردیده. این نقص می‌تواند به آپلود بدون احراز هویت و بازنویسی فایل‌ها منجر شود و مسیر را برای وب-شل/بک‌دور، defacement (تغییر چهره عمومی سایت)، سرقت داده، و در برخی سناریوهای سازمانی حتی نفوذ جانبی به شبکه‌های داخلی (lateral movement) هموار کند. درنتیجه، مهاجم می‌تواند به اجرای کد در سرور، دستکاری محتوا و درز اطلاعات دست یابد. ارجاعات رسمی: GHSA، NVD و گزارش مرکز ماهر (برای دستگاه‌های دولتی و نهادهای حساس، مبنای اقدام فوری).

 

⚠️ نکته کلیدی: این پچ راهکاری فوری و مستقل از ارتقای هسته است؛ یعنی بدون نیاز به ارتقای DNN قابل نصب بوده و ریسک را به‌سرعت کاهش می‌دهد. ارتقای هسته به 10.1.1+ توصیه بلندمدت است، اما پیش‌نیاز پچ نیست.

 

📦 نسخه‌ها و محصولات تحت تأثیر

  • تمام نسخه‌هایی از DNN که CKEditor/CKFinder دارند (از جمله سری‌های 7، 8 و 9).
     
  • در هستهٔ 10.1.1 و بالاتر مشکل در سورس اصلی رفع شده است؛ با این‌حال، نصب این پچ روی نسخه‌های پایین‌تر و حتی پس از ارتقا نیز بی‌خطر است و تداخلی با هسته ایجاد نمی‌کند.
     
  • این پچ فقط مؤلفهٔ CKEditor/CKFinder را ایمن‌سازی می‌کند و هیچ تغییری در DLLها/ساختار هسته ایجاد نمی‌کند.
     
  • پچ توسط دی‌اِن‌اِن پلاس طراحی/منتشر شده و با نسخه‌های بسیار قدیمی CKEditor نیز سازگار است؛ بنابراین برای سایت‌های قدیمی هم پوشش حفاظتی ایجاد می‌کند.
     
  • این رویکرد مخصوص سایت‌هایی است که فعلاً امکان ارتقای هسته ندارند؛ چراکه ارتقا معمولاً به‌دلیل وابستگی پوسته، ماژول‌ها و پروایدرهای ثالث، فرایندی زمان‌بر است.


مرحله ۱: دریافت پچ امنیتی

پچ امنیتی نصبی آمادهٔ شده توسط دی‌اِن‌اِن پلاس:

⤓ دانلود پچ: CKEditorProvider.Patch_1.0.0_Install_Dnnplus.ir.zip

 

 

مرحله ۲: نصب از بخش افزونه‌ها (Extensions)

  1. به پنل مدیریت DNN وارد شوید و به بخش Extensions بروید.
  2. Install Extension را انتخاب کرده و فایل CKEditorProvider.Patch_1.0.0_Install_Dnnplus.ir.zip را بارگذاری کنید.
  3. مراحل نصب را تا پایان دنبال کنید و یک‌بار صفحه را Refresh کنید. در صورت نیاز، Recycle برنامه کاربردی انجام شود.
  4. پچ صرفاً مؤلفهٔ CKEditor/CKFinder را ایمن‌سازی می‌کند؛ هسته و سایر ماژول‌ها بدون تغییر باقی می‌مانند.

نتیجهٔ نصب: مسیرهای آپلود/مرور CKEditor به‌شکل ایمن مدیریت می‌شوند و ریسک آپلود ناشناس، بازنویسی فایل و سوءاستفاده زنجیره‌ای (وب-شل، بک‌دور، تزریق، دیفِیس، سرقت داده و نفوذ جانبی) برطرف می‌گردد.

 

سوالات پرتکرار

۱) آیا این پچ روی همهٔ نسخه‌های 7، 8 و 9 و حتی پس از ارتقا به 10.1.1+ مشکلی ایجاد می‌کند؟

خیر. پچ برای نسخه‌های DNN که CKEditor دارند طراحی شده و هیچ تغییری در هسته نمی‌دهد. پس از ارتقا هم ناسازگاری ندارد و در صورت عدم نیاز می‌توان آن را حذف کرد.
 

۲) آیا نصب پچ به‌معنای الزام به ارتقا در آینده است؟

خیر. این پچ یک راه‌حل مستقل و فوری برای کاهش ریسک است. ارتقا به 10.1.1+ توصیه بلندمدت برای هم‌راستاسازی کامل با هستهٔ جدید است، اما پیش‌نیاز پچ نیست.
 

۳) آیا افراد غیرفنی می‌توانند پچ را نصب کنند؟

فرآیند نصب ساده است، اما با توجه به تعدد پچ‌ها و اقتضائات امنیتی، به‌ویژه در سازمان‌ها، توصیه می‌شود نصب و اطمینان از پوشش ریسک‌ها توسط تیم پشتیبانی دی‌اِن‌اِن پلاس انجام شود. در این حالت، مسئولیت امنیتی فرایند به‌طور رسمی بر عهدهٔ تیم ماست و خیال مدیران فناوری/انفورماتیک از پاسخ‌گویی و پایداری راحت خواهد بود.
 

۴) آیا این پچ با پوسته‌ها، ماژول‌ها و پروایدرهای ثالث تداخل دارد؟

خیر. پچ منحصر به CKEditor/CKFinder است و معماری هسته/پوسته/ماژول‌ها را تغییر نمی‌دهد. بااین‌حال، بهترین روال حرفه‌ای، نصب نخست در محیط staging است.
 

۵) اگر پچ را نصب نکنم، چه ریسکی می‌پذیرم؟

ریسک defacement، آپلود وب-شل/بک‌دور، تزریق اسکریپت، سرقت داده، دسترسی غیرمجاز به سرور و در سازمان‌های بزرگ، احتمال نفوذ جانبی به شبکه‌های داخلی وجود دارد. این ریسک‌ها می‌توانند پیامدهای حقوقی/اعتباری جدی به‌همراه داشته باشند.
 

۶) آیا نیاز به لاگ یا مانیتورینگ ویژه دارم؟

پایش لاگ‌های DNN و Event Viewer و تعریف هشدار برای الگوهای آپلود/درخواست غیرعادی توصیه می‌شود. استفاده از آنتی‌ویروس روی پوشه‌های آپلود نیز مفید است.
 

رفرنس‌ها

  1. اعلان امنیتی GitHub (GHSA) – Dnn.Platform
  2. National Vulnerability Database – CVE-2025-64095
  3. مرکز ماهر – اعلام و الزام اقدامات اصلاحی برای نهادهای دولتی/حساس


برای اطلاع از نسخه‌های بومی هسته و پچ‌های امنیتی جدید، دانلودهای DNN پلاس و کانال تلگرام را دنبال کنید.

 

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095 دی ان ان پلاس
5/0 5
امتیاز 5/0 /5 تعداد 2 امتیاز دهنده
پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

این مقاله نحوه ایمن‌سازی ماژول CKEditor در تمامی نسخه‌های DNN 9.x را توضیح می‌دهد. با نصب پچ امنیتی ارائه‌شده توسط دی ان ان پلاس، آسیب‌پذیری بحرانی CVE-2025-64095 که در گزارش‌های رسمی NVD و مرکز ماهر منتشر شده، به‌طور کامل رفع می‌شود. این مشکل از نسخه‌های اولیه DNN تا پیش از 10.1.1 وجود داشته و امکان اجرای کدهای مخرب از طریق ویرایشگر را فراهم می‌کرد. راهکار ارائه‌شده بدون نیاز به ارتقاء هسته، امنیت و پایداری سایت را تضمین کرده و با ساختار اصلی DNN کاملاً سازگار است. مراحل اجرا به‌صورت ساده و گام‌به‌گام آماده شده تا مدیران سایت‌ها بتوانند به‌راحتی پچ را اعمال کنند.

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

این مقاله نحوه ایمن‌سازی ماژول CKEditor در تمامی نسخه‌های DNN 9.x را توضیح می‌دهد. با نصب پچ امنیتی ارائه‌شده توسط دی ان ان پلاس، آسیب‌پذیری بحرانی CVE-2025-64095 که در گزارش‌های رسمی NVD و مرکز ماهر منتشر شده، به‌طور کامل رفع می‌شود. این مشکل از نسخه‌های اولیه DNN تا پیش از 10.1.1 وجود داشته و امکان اجرای کدهای مخرب از طریق ویرایشگر را فراهم می‌کرد. راهکار ارائه‌شده بدون نیاز به ارتقاء هسته، امنیت و پایداری سایت را تضمین کرده و با ساختار اصلی DNN کاملاً سازگار است. مراحل اجرا به‌صورت ساده و گام‌به‌گام آماده شده تا مدیران سایت‌ها بتوانند به‌راحتی پچ را اعمال کنند.

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

این مقاله نحوه ایمن‌سازی ماژول CKEditor در تمامی نسخه‌های DNN 9.x را توضیح می‌دهد. با نصب پچ امنیتی ارائه‌شده توسط دی ان ان پلاس، آسیب‌پذیری بحرانی CVE-2025-64095 که در گزارش‌های رسمی NVD و مرکز ماهر منتشر شده، به‌طور کامل رفع می‌شود. این مشکل از نسخه‌های اولیه DNN تا پیش از 10.1.1 وجود داشته و امکان اجرای کدهای مخرب از طریق ویرایشگر را فراهم می‌کرد. راهکار ارائه‌شده بدون نیاز به ارتقاء هسته، امنیت و پایداری سایت را تضمین کرده و با ساختار اصلی DNN کاملاً سازگار است. مراحل اجرا به‌صورت ساده و گام‌به‌گام آماده شده تا مدیران سایت‌ها بتوانند به‌راحتی پچ را اعمال کنند.

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

پچ امنیتی CKEditor در دی‌ان‌ان، رفع کامل آسیب‌پذیری بحرانی CVE-2025-64095

این مقاله نحوه ایمن‌سازی ماژول CKEditor در تمامی نسخه‌های DNN 9.x را توضیح می‌دهد. با نصب پچ امنیتی ارائه‌شده توسط دی ان ان پلاس، آسیب‌پذیری بحرانی CVE-2025-64095 که در گزارش‌های رسمی NVD و مرکز ماهر منتشر شده، به‌طور کامل رفع می‌شود. این مشکل از نسخه‌های اولیه DNN تا پیش از 10.1.1 وجود داشته و امکان اجرای کدهای مخرب از طریق ویرایشگر را فراهم می‌کرد. راهکار ارائه‌شده بدون نیاز به ارتقاء هسته، امنیت و پایداری سایت را تضمین کرده و با ساختار اصلی DNN کاملاً سازگار است. مراحل اجرا به‌صورت ساده و گام‌به‌گام آماده شده تا مدیران سایت‌ها بتوانند به‌راحتی پچ را اعمال کنند.

نویسنده: سهیل خیری (مدیر دی‌ان‌ان پلاس) / دسته ها: اخبار عمومی, اطلاعیه ها, اخبار اختصاصی دی ان ان پلاس, مقالات آموزشی, ترفند های دی ان ان

کلمات کلیدی: dotnetnuke dnn CKEditor CKFinder CVE-2025-64095 DNNPlus امنیت دی‌ان‌ان پچ امنیتی آسیب‌پذیری DNN RCE وب‌شل Backdoor
رتبه بندی این مطلب:
5/0

فایل ها برای دانلود

مطالب مرتبط

نوشتن یک نظر

This form collects your name, email, IP address and content so that we can keep track of the comments placed on the website. For more info check our Privacy Policy and Terms Of Use where you will get more info on where, how and why we store your data.
افزودن نظر

انتخابگر پوسته

پشتیبانی آنلاین تلگرامی

بلاگ دی ان ان پلاس

مرجع دی‌ان‌ان فارسی و دات‌نت‌نیوک فارسی در ایران با نام تجاری دی‌ان‌ان پلاس ارائه انواع ماژول و پوسته دی ان ان انتشار آخرین نسخه بومی پلتفرم دی ان ان فارسی (دی‌ان‌ان فارسی) یکی از بهترین CMS ها برای سایت های سازمانی و شرکتی و استارت اپ‌ها
دی ان ان