کشف آسیب‌پذیری در WordPress

آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-46468 تحت عنوان «کنترل نادرست نام فایل در دستورات include/require در PHP» که با نام درج فایل از راه دور (Remote File Inclusion - RFI) نیز شناخته می‌شود، در افزونه‌ی WPFable Fable Extra شناسایی شده است. این آسیب‌پذیری به مهاجمان امکان درج فایل محلی (Local File Inclusion - LFI) را می‌دهد.
این ضعف امنیتی نسخه‌های قبل از 1.0.6 افزونه Fable Extra را تحت تأثیر قرار می‌دهد و ممکن است به مهاجم اجازه دهد با بارگذاری فایل‌های دلخواه، به فایل‌های داخلی سرور دسترسی پیدا کرده یا کد مخرب اجرا کند. فایل‌هایی که حاوی اطلاعات حساس مانند مشخصات ورود به پایگاه داده هستند، در صورت پیکربندی نادرست، ممکن است امکان تسلط کامل بر پایگاه داده را برای مهاجم فراهم کنند.

محصولات آسیب‌پذیر

• نسخه‌های قبل از 1.0.6

توصیه‌های امنیتی

• توصیه می‌شود کاربران به نسخه 1.0.7 بروزرسانی نمایند.

منابع خبر:

[1]https://www.cve.org/CVERecord?id=CVE-2025-46468

[2]https://patchstack.com/database/wordpress/plugin/fable-extra/vulnerability/wordpress-fable-extra-1-…