یک آسیبپذیری با شناسهCVE-2025-24756 و شدت 7.1 در افزونه Roi Calculator برای وردپرس کشف شده است. این نقص امنیتی به دلیل وجود آسیبپذیری Cross-Site Request Forgery (CSRF)، امکان اجرای حملاتStored Cross-Site Scripting (XSS) را فراهم میکند. مهاجم میتواند با فریب کاربر با کلیک بر روی لینک یا بازدید از صفحهای خاص، اسکریپتهای مخرب را در سیستم کاربر اجرا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L بهرهبرداری از آن از راه دور و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و با تایید کاربر انجام میشود (PR:N/UI:R)، با بهرهبرداری ازاین آسیبپذیری، سه ضلع امنیت به میزان کمی تحت تأثیر قرار میگیرند (C:L/I:L/A:L).
محصولات تحت تأثیر
این آسیبپذیری نسخههای 1.0 و قبل تر افزونه Roi Calculator را تحت تاثیر قرارداده است.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت افزونه Roi Calculator را به نسخه 1.1 ارتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-24756
[2]https://patchstack.com/database/wordpress/plugin/roi-calculator/vulnerability/wordpress-roi-calcula…
- 24