THREAT TYPE: VULNERABILITY (CVE) TLP:WHITE // PUBLIC DISCLOSURE

CYBERPULSEIL

מחקר

חולשת Zero-Day חדשה בתוכנות VPN נפוצות

אד
ארז דסה
| 27.12.2025 | 6 דקות קריאה

צוות המחקר של Security Joes חשף חולשה קריטית במספר תוכנות VPN נפוצות המאפשרת לתוקף להריץ קוד מרחוק (RCE) על המערכת ללא צורך באימות משתמש.

VULNERABILITY REPORT
Vulnerability ID
CVE-2025-XXXX
Severity Score
9.8 CRITICAL
VECTOR
Network
COMPLEXITY
Low
STATUS
Patch Available

הממצאים

החולשה התגלתה במהלך מחקר שגרתי של פרוטוקולי VPN. היא משפיעה על מנגנון האימות הראשוני, ומאפשרת לתוקף לשלוח בקשה "מיוחדת" (Crafted Packet) הגורמת לגלישת זיכרון (Buffer Overflow) ולביצוע קוד זדוני ברמת הרשאות System.

"זו אחת החולשות החמורות שגילינו השנה. העובדה שהיא לא דורשת שם משתמש או סיסמה כדי להתבצע, הופכת כל שרת VPN חשוף למטרה קלה ומיידית."

— ארז דסה, חוקר ראשי

מוצרים מושפעים

FortiVPN גרסאות לפני 7.4.2
PulseSecure גרסאות לפני 22.5R1
GlobalProtect גרסאות לפני 11.1.2

המלצות

01

עדכון מיידי: יש להתקין את עדכוני האבטחה ששוחררו על ידי היצרנים באופן מיידי. זוהי הדרך היחידה לסגור את החולשה הרמטית.

02

מיטיגציה זמנית: ארגונים שלא יכולים לעדכן כרגע צריכים לשקול להשבית את שירות ה-VPN או להגביל את הגישה אליו לכתובות IP ספציפיות בלבד (Whitelist).