بیانیه رسمی: X-VPN یک آسیب‌پذیری افزایش امتیاز محلی را برطرف کرده است.

مقدمه

به تازگی، Fluid Attacks یک آسیب‌پذیری افزایش امتیاز محلی (CVE-2026-2638) را از طریق افشای مسئولانه گزارش کرد که نسخه‌های وب‌سایت X-VPN macOS از 77.0 تا 77.5 را تحت تأثیر قرار می‌دهد. ما این گزارش را به‌طور جدی گرفتیم، مشکل را به‌صورت داخلی بازتولید کردیم و اصلاحیه را در نسخه 77.5.1 وب‌سایت X-VPN macOS منتشر کردیم. بررسی داخلی ما تأیید کرد که این مشکل در تونل VPN، پروتکل رمزنگاری، سیستم حساب یا زیرساخت سرور X-VPN وجود نداشت و هیچ پلتفرم یا نسخه دیگری از X-VPN خارج از دامنه وب‌سایت macOS تحت تأثیر قرار نگرفته است. هیچ بهره‌برداری در دنیای واقعی مشاهده نشده است. کاربران نسخه‌های تحت تأثیر باید هر چه سریع‌تر به‌روزرسانی کنند.

در روح شفافیت و پاسخگویی، جزئیات آسیب‌پذیری، دامنه آن و اقداماتی که انجام داده‌ایم را به اشتراک خواهیم گذاشت.

یافته‌های کلیدی ما

CVE-2026-2638 یک آسیب‌پذیری افزایش امتیاز محلی است که بر روی وب‌سایت X-VPN macOS (نسخه مستقل macOS که از xvpn.io دانلود شده است) در نسخه‌های 77.0-77.5 تأثیر می‌گذارد. یک مشکل افزایش امتیاز محلی به این معنی است که تحت شرایط محلی خاص، یک کاربر یا فرایند با مجوزهای محدود در همان دستگاه می‌تواند به دسترسی سطح مدیر دست یابد. X-VPN این مشکل را در نسخه 77.5.1 و بالاتر وب‌سایت X-VPN macOS برطرف کرده است.

آسیب‌پذیری از ویژگی حفاظت از دانلود در نسخه وب macOS X-VPN ناشی می‌شود (که در Security → Browser Protection → Download Protection یافت می‌شود)، که فایل‌های دانلود شده را اسکن می‌کند، آن‌هایی که به نظر ناامن می‌رسند را قرنطینه می‌کند و در صورت درخواست آن‌ها را بازیابی می‌کند. از آنجا که قرنطینه و بازیابی فایل‌ها شامل نوشتن در مکان‌هایی است که توسط مجوزهای سیستم macOS محافظت می‌شوند، بخش‌هایی از این ویژگی با مجوزهای سطح مدیر اجرا می‌شوند. 

CVE-2026-2638 یک نقص در نحوه تأیید هویت فایل توسط این بخش سطح مدیر از ویژگی در مراحل اسکن، قرنطینه و بازیابی بود که می‌توانست به یک برنامه محلی مخرب اجازه دهد یک عملیات دارای امتیاز را به فایلی غیر از فایلی که برای آن در نظر گرفته شده بود، هدایت کند. توضیحات دقیق‌تری در What Is CVE-2026-2638 ارائه شده است.

این یک حمله شبکه از راه دور نبود و بر تونل VPN، پروتکل رمزگذاری، سیستم حساب یا زیرساخت سرور X-VPN تأثیر نگذاشت. نسخه فروشگاه اپل X-VPN و X-VPN برای ویندوز، iOS، اندروید، لینوکس، روتر، تلویزیون، افزونه کروم، کروم‌بوک و کنسول‌های بازی تحت تأثیر قرار نگرفتند.

کاربران نسخه‌های وب macOS X-VPN 77.0-77.5 باید اکنون به نسخه 77.5.1 یا بالاتر به‌روزرسانی کنند.

حقایق کلیدی در زیر خلاصه شده‌اند:

CVE-2026-2638 چیست؟

برای توضیح اینکه چگونه CVE-2026-2638 می‌تواند مورد سوءاستفاده قرار گیرد، ابتدا مفید است که نگاهی به نحوه عملکرد معمول حفاظت از دانلود بیندازیم.

ویژگی حفاظت از دانلود نسخه وب X-VPN macOS یک فرآیند سه مرحله‌ای را دنبال می‌کند: فایل‌های دانلود جدید را اسکن می‌کند، فایل‌هایی که مشکوک به نظر می‌رسند را قرنطینه می‌کند و زمانی که درخواست بازیابی انجام شود، آن‌ها را بازیابی می‌کند. برای شناسایی اینکه در هر مرحله روی کدام فایل کار می‌کند، این ویژگی فایل را با توجه به موقعیت آن در مک ردیابی می‌کند: مسیر فایل آن. آسیب‌پذیری از این ناشی می‌شد: این ویژگی تنها به مسیر فایل اعتماد می‌کرد تا در تمام سه مرحله به همان فایل اشاره کند، بدون اینکه به طور مستقل محتوای واقعی فایل را دوباره تأیید کند.

در استفاده عادی، این یک فرض منطقی است، مسیرهای فایل معمولاً بین عملیات تغییر نمی‌کنند. اما تحت دو شرایط خاص، این فرض می‌تواند مورد سوءاستفاده قرار گیرد:

شرط اول یک سوال طبیعی را مطرح می‌کند: چنین برنامه مخربی از کجا می‌تواند در ابتدا بیاید؟ این موضوع ارزش مختصری را دارد، زیرا پاسخ همچنین نشان می‌دهد که CVE-2026-2638 خود چه چیزی را مسئول است و چه چیزی را مسئول نیست.

منبع برنامه مخرب کجاست

یک برنامه مخرب می‌تواند از طریق هر یک از روش‌های معمول به یک دستگاه منتقل شود، به عنوان مثال، باز کردن یک ایمیل فیشینگ، دانلود و اجرای نرم‌افزاری از منبع غیرقابل اعتماد، یا نصب یک برنامه شخص ثالث آسیب‌دیده. این مسیرهای اولیه عفونت مستقل از CVE-2026-2638 هستند.

در macOS، برنامه‌ها معمولاً با مجوزهای کاربری که آن‌ها را راه‌اندازی کرده‌اند، اجرا می‌شوند. بنابراین، یک برنامه مخرب که از طریق این کانال‌ها نصب شده باشد، تنها با مجوزهای کاربر عادی شروع به کار می‌کند و نمی‌تواند به تنهایی مکان‌های سیستم محافظت‌شده را تغییر دهد یا اقداماتی با سطح دسترسی مدیر انجام دهد. به‌دست آوردن دسترسی با سطح مدیر معمولاً نیاز به تأیید صریح کاربر دارد (مانند از طریق یک درخواست رمز عبور). به همین دلیل است که آسیب‌پذیری‌های افزایش امتیاز محلی اهمیت دارند: آن‌ها به مهاجمان راهی برای دور زدن این مانع ارائه می‌دهند.

دو شکاف که حمله را ممکن ساختند

آسیب‌پذیری این بود که حفاظت از دانلود بررسی نمی‌کرد که آیا فایلی که قرار بود با آن کار کند در واقع یک میانبر به جای دیگری است یا خیر. یک برنامه مخرب می‌توانست چنین میانبری را در جایی که حفاظت از دانلود قرار بود عمل کند، قرار دهد و آن را به یک فایل مهم در جای دیگری از سیستم اشاره دهد. حفاظت از دانلود، که با مجوزهای سطح مدیر اجرا می‌شود، سپس ناخواسته عملیات خود را بر روی آن فایل انجام می‌دهد، حتی اگر آن فایل هرگز قرار نبود لمس شود.

چرا این منجر به افزایش امتیاز شد

در هر دو مورد، برنامه مخرب به طور مستقیم مجوزهای جدیدی کسب نکرد. آنچه که انجام داد این بود که یک عملیات مجاز و دارای امتیاز، که توسط Download Protection انجام می‌شد، به فایلی هدایت کرد که برنامه مخرب به طور معمول نمی‌توانست آن را تغییر دهد. با فریب دادن Download Protection برای نوشتن در یک مکان محافظت‌شده توسط سیستم به نمایندگی از خود، برنامه مخرب می‌توانست به طور غیرمستقیم تغییراتی ایجاد کند که معمولاً فقط فرآیندهای سطح مدیر مجاز به انجام آن هستند.

این چیزی است که CVE-2026-2638 را به یک افزایش امتیاز محلی تبدیل کرد: نه با دزدیدن دسترسی در سطح مدیر، بلکه با فریب دادن یک عملیات قانونی در سطح مدیر به انجام کاری که هرگز قرار نبود انجام دهد.

در عمل، این به این معنی است که برنامه مخرب می‌تواند تغییراتی در رفتار سطح سیستم دستگاه ایجاد کند که نیاز به مجوز مدیر دارد.

CVE-2026-2638 چیست نیست

• عدم نقض سرورهای X-VPN
• این یک آسیب‌پذیری در تونل VPN، پروتکل رمزنگاری، سیستم حساب یا زیرساخت سرور نیست.
• این یک حمله از راه دور نیست، بلکه به دسترسی محلی با امتیاز پایین به دستگاه نیاز دارد.
• برای سایر پلتفرم‌ها یا نسخه فروشگاه اپلیکیشن قابل استفاده نیست

چگونه آن را اصلاح کردیم

نسخه وب macOS X-VPN 77.5.1 روند بازیابی فایل‌های محافظت شده در دانلود را تقویت می‌کند. بهبودهای اصلی شامل:

1. بررسی‌های سازگاری هویت فایل

زمانی که یک فایل دانلود شده توسط لایه حفاظت اسکن می‌شود، اثر انگشت محتوای فایل اکنون ثبت می‌شود. اگر فایل بعداً نیاز به قرنطینه داشته باشد، X-VPN دوباره تأیید می‌کند که آیا محتوای فعلی فایل هنوز با آنچه اسکن شده مطابقت دارد یا خیر.

اگر فایل پس از اسکن جایگزین، تغییر یا به هر نحو دیگری تغییر یافته باشد، فرآیند قرنطینه رد می‌شود.

2. اعتبارسنجی یکپارچگی قرنطینه

پس از اینکه یک فایل به قرنطینه وارد می‌شود، اطلاعات یکپارچگی درباره وضعیت قرنطینه آن ثبت می‌شود. قبل از اینکه کاربر فایل را بازیابی کند، X-VPN دوباره تأیید می‌کند که فایل قرنطینه شده هنوز در وضعیت ثبت شده قرنطینه خود قرار دارد.

اگر فایل قرنطینه شده جایگزین یا تغییر یافته باشد، عملیات بازیابی مسدود می‌شود.

3. لینک‌های نمادین در عملیات‌های حیاتی پذیرفته نمی‌شوند

جریان کار حفاظت از دانلود اکنون از اسکن یا بازیابی فایل‌های لینک نمادین خودداری می‌کند. این امر از هدایت عملیات قرنطینه یا بازیابی به فایل‌های ناخواسته از طریق دستکاری مسیر توسط مهاجمان جلوگیری می‌کند.

به طور کلی، این اصلاح دیگر تنها به مسیرهای فایل برای شناسایی فایلی که بر روی آن عمل می‌شود، وابسته نیست. در عوض، X-VPN اکنون از بررسی‌های چند مرحله‌ای یکپارچگی محتوا برای تأیید اینکه فایل‌ها در طول مراحل اسکن، قرنطینه و بازیابی جایگزین یا تغییر نیافته‌اند، استفاده می‌کند. همچنین، این اصلاح از هدایت نمادین لینک جلوگیری می‌کند که می‌تواند باعث شود عملیات بازیابی با امتیاز به مکان‌های فایل ناخواسته اعمال شود.

درک شدت

CVE-2026-2638 با امتیاز پایه CVSS v4.0 برابر با 7.3 (بالا) ارزیابی شده است، با رشته وکتور:

CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS (سیستم امتیازدهی آسیب‌پذیری‌های مشترک) چارچوب استاندارد صنعتی برای ارزیابی شدت آسیب‌پذیری‌های امنیتی است. بر اساس FIRST، سازمانی که استاندارد CVSS را نگهداری می‌کند، CVSS میزان جدی بودن یک آسیب‌پذیری را در صورت بهره‌برداری موفق اندازه‌گیری می‌کند، نه اینکه چقدر احتمال دارد که آن بهره‌برداری در عمل اتفاق بیفتد. بنابراین، یک امتیاز “بالا” نشان‌دهنده میزان خسارتی است که آسیب‌پذیری می‌تواند در صورت بهره‌برداری موفق ایجاد کند، نه پیش‌بینی اینکه چقدر احتمال دارد که علیه کاربران واقعی مورد بهره‌برداری قرار گیرد. 

رشته وکتور بالا امتیاز را به ابعاد مختلفی تقسیم می‌کند، مانند اینکه حمله باید از کجا آغاز شود، چه شرایطی باید برای بهره‌برداری از آن برآورده شود و یک حمله موفق چه تأثیر جدی بر سیستم می‌تواند داشته باشد.

در عمل، دو ویژگی از وکتور توضیح می‌دهند که چرا بهره‌برداری از CVE-2026-2638 به دور از سادگی است:

• AV:L (حمله از طریق: محلی). بهره‌برداری نیاز به دسترسی محلی به دستگاه دارد. این آسیب‌پذیری نمی‌تواند به‌طور از راه دور از طریق اینترنت فعال شود.
• AT:P (الزامات حمله: حاضر). شرایط خاصی باید برای موفقیت حمله برآورده شود، از جمله توانایی تعامل با جریان کار بازیابی فایل حفاظت شده از دانلود و دستکاری در مدیریت فایل در یک بازه زمانی محدود.

بنابراین، CVE-2026-2638 باید به طور جدی گرفته شود و کاربران نسخه‌های وب‌سایت macOS تحت تأثیر باید به نسخه 77.5.1 یا بالاتر وب‌سایت macOS X-VPN به‌روزرسانی کنند. با این حال، از آنجا که بهره‌برداری نیاز به دسترسی محلی و شرایط خاص دارد، این خطر فوری و گسترده‌ای برای کاربران X-VPN ایجاد نمی‌کند.

دامنه تحت تأثیر

جدول زیر خلاصه‌ای از نسخه‌های X-VPN که تحت تأثیر CVE-2026-2638 قرار دارند را نشان می‌دهد:

توصیه‌ها برای کاربران

به نسخه جدید بروز رسانی کنید.

برای بررسی نسخه فعلی خود:

1. برنامه X-VPN را در مک‌بوک خود باز کنید.
2. روی تنظیمات در گوشه پایین سمت چپ کلیک کنید.
3. روی X-VPN کلیک کنید.
4. نسخه فعلی شما در زیر “X-VPN برای مک” نمایش داده شده است.

اگر نسخه شما بین 77.0 و 77.5 است، با دانلود آخرین نسخه از صفحه دانلود مک به‌روزرسانی کنید.

گام‌های بعدی و تماس

X-VPN به امنیت کاربران فراتر از این مشکل خاص متعهد است. به عنوان بخشی از شیوه‌های امنیتی مداوم ما.

• بازرسی مداوم کد و اسکن آسیب‌پذیری: ما به‌طور منظم کد پایه خود را بررسی کرده و چک‌های امنیتی را انجام می‌دهیم تا مشکلات بالقوه را شناسایی و قبل از رسیدن به کاربران، برطرف کنیم.

• برنامه پاداش باگ: ما از محققان امنیتی دعوت می‌کنیم تا گزارش‌های مسئولانه آسیب‌پذیری را از طریق برنامه پاداش باگ ارسال کنند. یافته‌های معتبر و قابل بازتولید واجد شرایط دریافت جوایز مالی هستند که به ما در تقویت امنیت هر مشتری X-VPN کمک می‌کند.

• کانال گزارش مستقیم: اگر شما یک نگرانی امنیتی را کشف کردید یا رفتار غیرمعمولی در X-VPN مشکوک بود، لطفاً به security@xvpn.io ایمیل بزنید. تمام گزارش‌ها توسط تیم امنیتی ما بررسی می‌شوند.

ما از Fluid Attacks به خاطر افشای مسئولانه CVE-2026-2638 و همکاری با ما در فرآیند افشای هماهنگ تشکر می‌کنیم.

سوالات متداول