هشدار امنیتی FileRise؛ XSS ذخیره‌شده با آپلود SVG

هشدار امنیتی FileRise؛ XSS ذخیره‌شده با آپلود SVG
آسیب‌پذیری XSS ذخیره‌شده در FileRise پیش از ۲.۷.۱ می‌تواند با یک فایل SVG آلوده، هنگام باز شدن لینک اشتراک‌گذاری، کد را در مرورگر قربانی اجرا کند.

CVE-2025-68116 یک نقص «Cross-Site Scripting (XSS) ذخیره‌شده» در FileRise (مدیر فایل تحت‌وب/WebDAV) است که در نسخه‌های قبل از ۲.۷.۱ رخ می‌دهد. منشأ مشکل، نحوه سرو فایل‌های قابل رندر توسط مرورگر (خصوصاً SVG و در سطح ثانویه HTML) از طریق مسیرهای اشتراک‌گذاری و دانلود است؛ در نتیجه اگر مهاجم بتواند یک فایل دست‌کاری‌شده را روی نمونه FileRise ذخیره کند، با باز شدن لینک Share (و در برخی شرایط حتی از مسیر دانلود مستقیم) امکان اجرای JavaScript در مرورگر کاربر فراهم می‌شود. هرچند نسخه ۲.۷.۱ این نقص را رفع کرده است. 

سال ۲۰۲۵ نشان داد بسیاری از رخدادهای امنیتی بزرگ، نه با «نفوذهای پیچیده»، بلکه با یک زنجیره ساده شروع می‌شوند: یک آپلود ظاهراً بی‌خطر، یک لینک اشتراک‌گذاری، و یک کلیک. نمونه تازه این الگو، آسیب‌پذیری CVE-2025-68116 در FileRise است؛ یک نرم‌افزار «self-hosted web file manager / WebDAV server» که در برخی سازمان‌ها برای مدیریت و اشتراک فایل‌ها، ارائه لینک دانلود و کاربری‌های شبه «Drive» استفاده می‌شود. طبق اطلاعات ثبت‌شده در NVD، نسخه‌های پیش از ۲.۷.۱ در برابر Stored XSS آسیب‌پذیر هستند؛ زیرا فایل‌هایی که مرورگر می‌تواند آن‌ها را رندر کند (به‌ویژه SVG) در زمان ارائه از طریق endpointهای اشتراک‌گذاری و دانلود، به‌صورت ناامن مدیریت می‌شوند. 

ماهیت آسیب‌پذیری: Stored XSS در «فایل قابل رندر»

برخلاف XSS بازتابی (Reflected) که معمولاً با یک پارامتر URL یا ورودی لحظه‌ای فعال می‌شود، Stored XSS به‌دلیل ماندگاری Payload در یک منبع ذخیره‌شده، ریسک عملیاتی بیشتری دارد. در پرونده FileRise، «منبع ذخیره‌شده» همان فایل آپلودشده است؛ به‌خصوص فایل SVG که یک قالب تصویری/برداری است اما می‌تواند اسکریپت و رویدادهای تعاملی هم در خود داشته باشد. NVD توضیح می‌دهد مهاجم اگر بتواند یک SVG «crafted» (اصلی) یا HTML (ثانویه) را داخل نمونه FileRise ذخیره کند، با باز کردن لینک اشتراک‌گذاری تولیدشده توسط سیستم، امکان اجرای JavaScript در مرورگر قربانی ایجاد می‌شود. 

از منظر فنی، نقطه شکست جایی است که سرویس، فایل آپلودی «قابل رندر» را طوری ارائه می‌کند که مرورگر آن را به‌عنوان محتوای قابل نمایش/اجرا پردازش کند (Content-Type و رفتار مرورگر در تفسیر محتوا نقش کلیدی دارد). همین «رفتار مرورگر/Content-Type» در شرح NVD به‌عنوان عامل تعیین‌کننده ذکر شده و توضیح می‌دهد که اثرگذاری مسیر دانلود مستقیم هم به همین رفتارها وابسته است. 

مسیرهای درگیر: Share و Download

در گزارش NVD، دو مسیر مشخص به‌عنوان نقاط اثرپذیر معرفی شده‌اند:

  • لینک‌های اشتراک‌گذاری: /api/file/share.php
  • دسترسی مستقیم/دانلود فایل: /api/file/download.php

در سناریوی غالب، قربانی روی «لینک share» کلیک می‌کند و مرورگر محتوای SVG را رندر می‌کند؛ در نتیجه اگر SVG شامل payload مخرب باشد، اجرای JavaScript رخ می‌دهد. NVD تصریح می‌کند که در «برخی موارد» این اجرا از مسیر دانلود مستقیم هم ممکن است؛ یعنی بسته به اینکه مرورگر فایل را دانلود کند یا آن را درون تب نمایش دهد و همچنین بسته به اینکه سرور چه نوع محتوایی (MIME) را ارسال کند. 

سطح دسترسی و سناریوی حمله

این نقص در دسته CWE-79 (Improper Neutralization of Input During Web Page Generation) طبقه‌بندی شده است. 

در عمل، برای تبدیل این نقص به رخداد واقعی، مهاجم باید «توانایی رساندن یک فایل دست‌کاری‌شده به مخزن FileRise» را داشته باشد. این توانایی می‌تواند از مسیرهای زیر حاصل شود:

  1. مهاجم کاربر مجاز سیستم است (کارمند/پیمانکار/کاربر مهمان) و مجوز آپلود دارد.
  2. مهاجم با روش‌های مهندسی اجتماعی، یک فایل ظاهراً عادی را برای آپلود به فرد مجاز می‌رساند.
  3. نمونه FileRise طوری پیکربندی شده که آپلود از طریق WebDAV یا مسیرهای اشتراک فایل با کنترل ضعیف انجام می‌شود.

پس از ذخیره فایل، مهاجم کافی است لینک Share را برای قربانی ارسال کند یا قربانی را به باز کردن لینک ترغیب کند. نتیجه، اجرای کد در «کانتکست دامنه/مبدأ FileRise» است؛ یعنی می‌تواند به سرقت نشست (Session) در سناریوهای خاص، دسترسی به اطلاعات نمایشی، انجام درخواست‌های ناخواسته از سمت کاربر (در حد مجاز مرورگر)، یا فریب UI برای دریافت داده‌های حساس منجر شود. شدت دقیق پیامد به سیاست‌های امنیتی مرورگر، تنظیمات Cookie (HttpOnly/SameSite)، CSP و نحوه پیاده‌سازی نشست در FileRise بستگی دارد—اما به‌صورت پایه، XSS در سامانه‌های اشتراک فایل یک ریسک جدی برای «اعتماد لینک‌های اشتراک‌گذاری» است.

نسخه‌های آسیب‌پذیر و نسخه اصلاح‌شده

طبق NVD، تمام نسخه‌های FileRise «پیش از ۲.۷.۱» آسیب‌پذیر هستند و نسخه ۲.۷.۱ مشکل را رفع می‌کند. 

همچنین رکورد نشان می‌دهد این CVE از GitHub, Inc. به NVD ارسال شده و مرجع advisory هم یک GHSA برای همین پروژه است. 

امتیازدهی و پیام مدیریتی

در NVD، امتیاز CVSS v3.1 از سوی CNA (GitHub) برابر ۸.۹ (High) ثبت شده است. 

این امتیاز بالا با ماهیت «ذخیره‌شده بودن» و «شبکه‌ای بودن» حمله هم‌خوانی دارد: کافی است فایل آپلود شود و یک لینک باز شود؛ و در بسیاری از سازمان‌ها، لینک Share دقیقاً برای همین ساخته می‌شود که سریع و بدون اصطکاک باز شود. پیام مدیریتی روشن است: اگر FileRise در سازمان شما برای اشتراک فایل بین تیم‌ها، مشتریان یا پیمانکاران استفاده می‌شود، هر لینک Share یک سطح تماس امنیتی است و باید همان‌قدر جدی گرفته شود که لینک‌های پرتال‌ها و داشبوردها.

اقدام‌های ضروری و کنترل‌های جبرانی

۱) ارتقا فوری به ۲.۷.۱

تنها راهکار قطعی، ارتقا به نسخه ۲.۷.۱ است؛ چون طبق NVD نسخه ۲.۷.۱ نقص را رفع کرده است. 

۲) سخت‌گیری روی آپلودهای قابل رندر

حتی پس از ارتقا، به‌عنوان اصل دفاع در عمق:

  • آپلود SVG و HTML را فقط برای نقش‌های مشخص مجاز نمایید.
  • اگر نیاز عملیاتی ندارید، SVG را مسدود یا به فرمت امن‌تر تبدیل نمایید (Rasterize).
  • جدا کردن «دامنه ارائه فایل» از «دامنه پنل» (Domain Separation) ریسک حمله XSS را کاهش می‌دهد؛ چون حتی در صورت اجرا، دسترسی به Cookieهای پنل را محدود می‌کند.

۳) تنظیمات امنیتی مرورگر-محور

  • اعمال CSP سخت‌گیرانه در مسیرهای Share/Download (در حدی که محصول اجازه دهد).
  • اطمینان از HttpOnly و SameSite برای Cookieهای نشست.
  • اعمال X-Content-Type-Options: nosniff برای جلوگیری از تفسیر نوع محتوا به‌صورت حدسی (در حد امکان محصول/وب‌سرور).

۴) پایش و پاسخ‌گویی رخداد

  • لاگ‌برداری دقیق از ایجاد Share Link و دانلود/بازدید فایل‌های share شده.
  • مانیتور رفتارهای غیرعادی مثل تولید تعداد زیاد لینک یا دسترسی‌های پرتکرار به فایل‌های SVG.
  • بازبینی فایل‌های آپلودی اخیر، خصوصاً اگر لینک‌های share برای مخاطبان بیرونی صادر شده است.

جمع‌بندی

CVE-2025-68116 یک یادآوری جدی است که «مدیریت فایل تحت‌وب» فقط یک ابزار بهره‌وری نیست؛ در عمل یک سطح حمله عمومی با وابستگی مستقیم به رفتار مرورگر است. هرجا فایل‌های قابل رندر به کاربر تحویل داده می‌شوند، باید فرض کرد مهاجم تلاش می‌کند «فایل را به کد» تبدیل کند. با ارتقا به FileRise ۲.۷.۱، محدودسازی SVG/HTML، و جداسازی مسیر ارائه فایل از پنل مدیریتی، می‌توان این ریسک را به‌صورت معنادار کاهش داد.

28 آذر 1404

3بازدید