تازه ها

امنیت

February 21, 2026
11:21 شنبه، 2ام اسفندماه 1404
کد خبر: 212819

کشف آسیب‌پذیری در Tenable Security Center

منبع: ماهر

اخیرا یک آسیب‌پذیری با شناسه CVE-2026-2630 و امتیاز 8.8در ابزارTenable Security Center شناسایی شده است. این ابزار بمنظور جمع­آوری و تحلیل اسکن‌های امنیتی، مدیریت اسکنرهای Nessus و ارائه داشبوردهای جامع امنیتی در سازمان‌ها مورد استفاده قرار می­گیرد و به‌عنوان هسته مرکزی پایش امنیت شبکه عمل می‌کند. این نقص به مهاجم احراز هویت‌شده امکان می‌دهد تا دستورات دلخواه خود را روی سرور اجرا کرده و کنترل کامل سامانه را به دست گیرد.

این آسیب‌پذیری یک نقص امنیتی از نوع تزریق فرمان در سامانهTenable Security Center است که به مهاجم احراز هویت‌شده اجازه می‌دهد داده‌های ورودی دستکاری‌شده خود را به سرور ارسال کرده و دستورات دلخواه سیستم‌عامل را با سطح دسترسی سرویس اجرا کند. این نقص ناشی از عدم اعتبارسنجی و کنترل کافی بر ورودی‌های مدیریتی و فرآیندهای پردازشی سرور است، به طوری که داده‌های مخرب می‌توانند مستقیماً در محیط سیستم‌عامل اجرا شوند.

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به دسترسی کامل به سرور و اجرای کد با سطح دسترسی سیستم،استخراج اطلاعات حساس حاصل از اسکن‌های امنیتی و مدیریت آسیب‌پذیری‌ها، دستکاری یا حذف گزارش‌ها و داده‌های حیاتی امنیتی و ایجاد مسیرهای حمله جانبی به سایر سامانه‌ها و زیرساخت شبکه داخلی منجر شود.

بردار حمله CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H نشان می­دهد این آسیب‌پذیری از طریق شبکه قابل بهره‌برداری است و مهاجم احراز هویت‌شده می‌تواند بدون نیاز به تعامل کاربر و با پیچیدگی پایین، دستورات مخرب خود را روی سرور مرکزی اجرا کند. موفقیت در بهره‌برداری از این نقص منجر به تأثیر قابل توجه بر محرمانگی، صحت و دسترس‌پذیری سرور شده و می‌تواند کنترل کامل سیستم و اطلاعات حساس امنیتی را در اختیار مهاجم قرار دهد. دامنه اثرگذاری آن محدود به سرور Tenable Security Center نیست و می‌تواند مسیرهای حمله جانبی به شبکه داخلی را نیز فراهم کند.

Tenable Security Center نسخه های 6.5.1 ، 6.6.0 و 6.7.2 تحت تاثیر این آسیب­پذیری قرار دارند.

برای این نسخه‌ها اصلاحیه‌های مستقل با شناسه‌های SC-202602.1 و SC-202602.2 منتشر شده است .

نسخه‌های آسیب‌پذیر (6.5.1، 6.6.0 و 6.7.2) به آخرین نسخه‌های منتشر شده همراه با اصلاحیه‌های امنیتی SC-202602.1 و SC-202602.2 ارتقاء یابند.
Tenable Security Center باید تنها از شبکه‌های داخلی ایمن و سیستم‌های مجاز در دسترس باشد و دسترسی از اینترنت یا شبکه‌های غیرقابل اعتماد مسدود شود.
قبل از اعمال اصلاحیه‌ها و تغییرات پیکربندی، نسخه پشتیبان از داده‌ها و تنظیمات سامانه گرفته شود تا در صورت بروز مشکل، امکان بازگردانی وجود داشته باشد.

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.