تحلیل جامع آسیب‌پذیری‌های حیاتی اخیر از Linux Copy Fail تا cPanel Authentication Bypass

بر اساس گزارش‌های منتشرشده توسط منابع معتبر از جمله The Hacker News، مجموعه‌ای از آسیب‌پذیری‌های سطح بالا در لایه‌های مختلف زیرساخت from kernel تا control panel شناسایی شده‌اند که می‌توانند منجر به دسترسی کامل به سرور شوند.
در این مقاله، سه مورد مهم را به‌صورت عمیق بررسی می‌کنیم:

• Linux Kernel Copy Fail (CVE-2026-31431) 
• cPanel & WHM Authentication Bypass 
• DotNetNuke Attack Chain (XSS → RCE) 

هرکدام از این موارد به‌تنهایی خطرناک هستند اما در کنار هم یک سناریوی کامل برای نفوذ ایجاد می‌کنند.اگر از سرور لینوکسی، هاست اشتراکی یا VPS استفاده می‌کنید، این مقاله دقیقاً همان چیزی است که باید همین امروز بخوانید.

آنچه در ادامه می‌خوانید:

آسیب‌پذیری Linux Copy Fail (CVE-2026-31431)

چرا آسیب‌پذیری Linux Copy Fail فوق‌العاده خطرناک است؟

نحوه سوءاستفاده (Exploitation Insight)

روش‌های مقابله (Mitigation)

آسیب‌پذیری cPanel Authentication Bypass

زنجیره حمله DotNetNuke (XSS → RCE)

چک‌لیست فوری امنیت سرور در DotNetNuke

کلام آخر

۱. آسیب‌پذیری Linux Copy Fail (CVE-2026-31431)

آسیب‌پذیری Copy Fail یک نقص منطقی در زیرسیستم رمزنگاری هسته لینوکس (ماژول algif_aead) است که به کاربران محلیِ بدون دسترسی ویژه (unprivileged local users) اجازه می‌دهد سطح دسترسی خود را تا root ارتقا دهند. این آسیب‌پذیری با شناسه CVE-2026-31431 و امتیاز CVSS برابر با 7.8 (شدت بالا) ثبت شده و توسط شرکت‌های Xint.io و Theori با نام Copy Fail معرفی شده است.این نقص در دسته Local Privilege Escalation (LPE) قرار می‌گیرد و بهره‌برداری از آن مستلزم داشتن دسترسی محلی اولیه روی سیستم هدف است؛ بنابراین به‌صورت مستقیم یک آسیب‌پذیری ریموت محسوب نمی‌شود، هرچند می‌تواند در زنجیره حمله پس از دستیابی اولیه (initial access) مورد سوءاستفاده قرار گیرد.

طبق گزارش تیم تحقیقاتی Xint.io و Theori، یک کاربر محلی بدون دسترسی ویژه می‌تواند چهار بایت کنترل‌شده را در page cache مربوط به فایل‌های قابل‌خواندن سیستم تزریق کرده و از این طریق شرایط لازم برای دستیابی به دسترسی root را فراهم کند.

بهره‌برداری موفق از این ضعف می‌تواند با یک اسکریپت ساده پایتون به حجم تنها ۷۳۲ بایت، یک باینری setuid را ویرایش کرده و در تقریباً تمام توزیع‌های لینوکسی منتشرشده از سال ۲۰۱۷ (از جمله Amazon Linux ،RHEL ،SUSE و Ubuntu) دسترسی root بگیرد.

اکسپلویت پایتون شامل چهار مرحله است:

• باز کردن یک سوکت AF_ALG و اتصال به authencesn(hmac(sha256),cbc(aes))
• ساخت payload مربوط به shellcode
• فعال‌سازی عملیات نوشتن روی نسخه کش‌شده در کرنل از فایل /usr/bin/su
• فراخوانی execve("/usr/bin/su") برای اجرای shellcode تزریق‌شده با دسترسی root

اگرچه این آسیب‌پذیری به‌صورت مستقیم از راه دور قابل بهره‌برداری نیست، اما یک کاربر محلی بدون دسترسی ویژه می‌تواند تنها با خراب کردن page cache یک باینری setuid به دسترسی root برسد. این مکانیزم همچنین اثرات بین کانتینری دارد، زیرا page cache بین تمام پردازش‌های سیستم مشترک است. آسیب‌پذیری Copy Fail شباهت‌هایی با آسیب‌پذیری معروف Dirty Pipe (CVE-2022-0847) دارد؛ که آن نیز اجازه می‌داد کاربران بدون دسترسی ویژه داده‌هایی را به page cache فایل‌های فقط‌خواندنی تزریق کرده و در نهایت فایل‌های حساس را برای اجرای کد بازنویسی کنند.

به گفته David Brumley از Bugcrowd:
«Copy Fail از همان نوع primitive است، اما در یک زیرسیستم متفاوت. بهینه‌سازی انجام‌شده در سال ۲۰۱۷ در algif_aead باعث می‌شود یک صفحه از page cache در مقصد قابل‌نوشتن کرنل برای عملیات AEAD قرار بگیرد. سپس یک پردازش بدون دسترسی می‌تواند با استفاده از ()splice به آن سوکت، یک نوشتن کوچک و هدفمند در page cache فایلی که مالک آن نیست انجام دهد.»

چرا آسیب‌پذیری Linux Copy Fail فوق‌العاده خطرناک است؟

• تقریباً تمام توزیع‌های لینوکس از سال ۲۰۱۷ به بعد را تحت تأثیر قرار می‌دهد.
• exploit آن بسیار ساده و سریع است
• نیاز به دسترسی اولیه پیچیده ندارد (یک user ساده کافی است) 
• روی هاست اشتراکی و کانتینرها به‌شدت خطرناک است
• تغییرات در حافظه انجام می‌شود بنابراین شناسایی بسیار سخت می‌شود.

نتیجه: یک دسترسی محدود می‌تواند به compromise کامل سرور تبدیل شود.

نحوه سوءاستفاده (Exploitation Insight)

در سناریوهای واقعی:
مهاجم یک فایل حساس (مثل /usr/bin/su) را target می‌کند 
از طریق ()splice داده را به page cache تزریق می‌کند 
فایل در حافظه تغییر می‌کند 
در نهایت با اجرای فایل به root دسترسی پیدا می‌کند

نکته مهم:
این تغییرات روی دیسک نوشته نمی‌شوند که باعث می‌شود تشخیص بسیار سخت باشد.

روش‌های مقابله (Mitigation)

اقدام اصلی:
بروزرسانی کرنل (ضروری) 
راهکار موقت:
غیرفعال‌سازی ماژول (در برخی سیستم‌ها): 

modprobe -r algif_aead

اما در سیستم‌های مبتنی بر RHEL مثل (AlmaLinux / CloudLinux):
این روش کار نمی‌کند (ماژول built-in است )
 

راهکار جایگزین:

grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"
reboot

اگر امکان آپدیت ندارید:

grubby --update-kernel=ALL --args="initcall_blacklist=algif_aead_init"

هشدار مهم:
اگر از AlmaLinux یا CloudLinux استفاده می‌کنید دستور modprobe جواب نمی‌دهد و حتما باید آپدیت کنید. ابزارهایی مثل Imunify360 می‌توانند exploit را detect کنند اما جایگزین patch نیستند.

۲. آسیب‌پذیری cPanel Authentication Bypass

یک آسیب‌پذیری بحرانی از نوع دور زدن احراز هویت (Authentication Bypass) با شناسه CVE-2026-41940 در cPanel و WHM در تاریخ ۲۸ آوریل ۲۰۲۶ منتشر شد. این آسیب‌پذیری تقریباً تمامی نسخه‌های پشتیبانی‌شده این نرم‌افزار را تحت تأثیر قرار می‌دهد و به مهاجمان راه دورِ بدون احراز هویت (login) اجازه می‌دهد به‌صورت غیرمجاز به کنترل‌پنل دسترسی پیدا کنند.

این مشکل ناشی از مدیریت نادرست داده‌های session در فرآیند ورود (login) است. به‌طور خاص، ضعف در بارگذاری و اعتبارسنجی session باعث می‌شود مهاجمان بتوانند وضعیت احراز هویت را دستکاری کرده و کنترل بررسی اعتبار را کاملاً دور بزنند.

محققان امنیتی نشان داده‌اند که این آسیب‌پذیری می‌تواند با استفاده از تکنیک CRLF Injection مورد سوءاستفاده قرار گیرد. در این روش، مهاجم داده‌های مخرب را وارد فایل‌های session می‌کند و زمانی که سیستم این داده‌ها را پردازش می‌کند، ممکن است مهاجم به‌عنوان یک کاربر احراز هویت‌شده (حتی ادمین) شناخته شود. 

• مهاجم بدون داشتن credential معتبر به پنل مدیریتی دسترسی پیدا می‌کند.

چرا این مورد خیلی خطرناک است؟

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به تصرف کامل سیستم شود. مهاجمان می‌توانند به سطح دسترسی مدیریتی یا حتی root از طریق WHM دست پیدا کنند و کنترل کامل وب‌سایت‌ها، دیتابیس‌ها، تنظیمات سرور و اجرای کد دلخواه را در اختیار بگیرند.

• دسترسی مستقیم به WHM
• کنترل اکانت‌ها و ایمیل‌ها
• امکان اجرای تغییرات مخرب
• این یعنی: Full Hosting Takeover

این آسیب‌پذیری مستقیماً لایه مدیریتی را هدف می‌گیرد و دسترسی به اکانت‌ها، ایمیل‌ها و دیتابیس‌ها را فراهم می‌کند. همچنین می‌تواند کاربر جدید ایجاد کند و تنظیمات مخربی را اجرا کند. 

نکته امنیتی مهم
این آسیب‌پذیری در دنیای واقعی نیز به‌طور فعال مورد سوءاستفاده قرار گرفته است و به همین دلیل هشدارهای امنیتی فوری توسط سازمان‌های مختلف منتشر شده است. به مدیران سیستم توصیه می‌شود هرچه سریع‌تر وصله‌های امنیتی را نصب کرده و دسترسی به رابط‌های مدیریتی را محدود کنند. ابزارهایی مثل Imunify360 می‌توانند exploit را detect کنند اما جایگزین patch نیستند.

۳. زنجیره حمله DotNetNuke (XSS → RCE)

یک زنجیره حمله بحرانی در DotNetNuke (که امروزه با نام DNN Platform شناخته می‌شود) نشان می‌دهد که چگونه یک آسیب‌پذیری Stored XSS می‌تواند برای دستیابی به اجرای کد از راه دور (RCE) مورد سوءاستفاده قرار گیرد. این مشکل در چندین نسخه از این پلتفرم مشاهده شده و ریسک ترکیب آسیب‌پذیری‌های سمت کاربر و سمت سرور را برجسته می‌کند. این حمله با یک آسیب‌پذیری XSS ذخیره‌شده در بخش‌هایی مانند پروفایل کاربر یا تنظیمات شخصی‌سازی آغاز می‌شود، جایی که ورودی کاربر به‌درستی پاک‌سازی (sanitize) نمی‌شود و در رابط مدیریتی نمایش داده می‌شود.مهاجم می‌تواند یک payload جاوااسکریپت مخرب تزریق کند که هنگام مشاهده صفحه توسط یک کاربر دارای دسترسی بالا (مثلاً ادمین) اجرا می‌شود.

این حمله نشان‌دهنده یک روند مهم است:

Attack Chaining:

• یک XSS ساده در کنار مهندسی اجتماعی تبدیل به RCE کامل می‌شود. این دقیقاً همان چیزی است که در حملات واقعی اتفاق می‌افتد. ترکیب چند باگ کوچک و در نهایت نفوذ کامل به سیستم اتفاق می‌افتد.

پس از اجرای کد در context یک session معتبر ادمین، اسکریپت مخرب می‌تواند اقداماتی را به‌جای قربانی انجام دهد. این اقدامات شامل ارسال درخواست‌های API، تغییر تنظیمات، یا آپلود فایل‌های مخرب با استفاده از قابلیت‌های داخلی سیستم است. در مرحله نهایی این زنجیره حمله، مهاجم از قابلیت‌های آپلود فایل یا مدیریت افزونه‌ها سوءاستفاده کرده و یک payload مخرب (مانند web shell) را روی سرور بارگذاری می‌کند. این امر منجر به اجرای کد از راه دور (RCE) شده و در نهایت کل برنامه وب و حتی سیستم زیرساخت را به خطر می‌اندازد.
 

راهکارهای مقابله:

• فیلتر SVG
• استفاده از CSP
• محدودسازی دسترسی ادمین
• بروزرسانی CMS

چک‌لیست فوری امنیت سرور در DotNetNuke

 محققان امنیتی تأکید می‌کنند که این نوع زنجیره آسیب‌پذیری بسیار خطرناک است، زیرا نیازی به دور زدن مستقیم احراز هویت ندارد. در عوض، از مهندسی اجتماعی یا رفتار عادی ادمین برای فعال‌سازی اکسپلویت استفاده می‌کند. به مدیران توصیه می‌شود که وصله‌های امنیتی را اعمال کرده، ورودی کاربران را به‌دقت اعتبارسنجی کنند و دسترسی به پنل مدیریتی را محدود نمایند.

بررسی وضعیت سیستم نسخه cPanel:

/usr/local/cpanel/cpanel -V

نسخه کرنل:

uname -r

بررسی ماژول:

lsmod | grep algif_aead

بروزرسانی سیستم:

:RHEL-based
dnf update -y && dnf autoremove -y   
:Debian-based
apt update && apt upgrade -y && apt autoremove -y  
 

کلام آخر

این مجموعه آسیب‌پذیری‌ها چند نکته مهم را نشان می‌دهد:

• Kernel هنوز مهم‌ترین سطح حمله است
• Copy Fail ثابت می‌کند که یک باگ کوچک می‌تواند منجر به دسترسی کامل از راه دور شود. 

پنل‌های مدیریتی از اهمیت بالایی برخوردار هستند و cPanel bypass نشان می‌دهد که کنترل پنل درواقع کنترل کل زیرساخت است و آپدیت کردن بسیار مهم است. در نتیجه هر سه آسیب‌پذیری به کنترل کامل سرور ختم می‌شود:

• Copy Fail ---> تهدید سطح کرنل 
• cPanel Bypass ---> تهدید سطح مدیریت 
• DotNetNuke Chain ---> تهدید سطح اپلیکیشن 

با توجه به آسیب‌پذیری‌های ذکر شده توصیه اکید به مدیران می‌شود که اگر VPS یا سرور اختصاصی دارند بیشتر مراقب امنیت دیتاسنترها باشند. بهتر است سرویس‌های حساس را بررسی و دسترسی‌ها را محدود کنند و به هیچ عنوان از آپدیت کردن غافل نشوند.