آسیبپذیری CVE-2025-28965 با شدت 8.6 از 10، یک ضعف امنیتی با سطح خطر بالا در افزونهی URL Shortener برای وردپرس است که ناشی از عدم کنترل صحیح مجوزها (Missing Authorization) در برخی از عملکردهای API میباشد. این نقص باعث میشود مهاجم بتواند بدون احراز هویت، به عملکردهایی دسترسی پیدا کند که باید محدود به کاربران مجاز باشد.
مهاجم میتواند از راه دور و بدون نیاز به حضور فیزیکی به سیستم هدف دسترسی پیدا کند (AV:N)، پیچیدگی حمله پایین است (AC:L)، نیاز به دسترسی اولیه دارد (PR:L) و نیاز به تعامل کاربر ندارد (UI:N). تأثیری بر محرمانگی ندارد (C:N)، محدوده تأثیر محدود به همان مؤلفه آسیبپذیر است (S:U)، اما تمامیت دادهها بهشدت آسیب میبیند (I:H) و تأثیر شدید بر دسترسپذیری دارد (A:H).
محصولات آسیبپذیر
- افزونهی URL Shortener نسخههای تا 3.0.7
توصیههای امنیتی
- بهروزرسانی فوری افزونهی URL Shortener به نسخهای امنتر یا حذف آن در صورت عدم نیاز
- اعمال کنترلهای دسترسی (ACL) برای محدودسازی عملکردهای حساس
- مسدودسازی دسترسی به پنل مدیریت از اینترنت
- فعالسازی لاگگیری کامل برای APIها و بررسی دورهای آنها
- استفاده از SIEM برای تشخیص رفتارهای مشکوک و حملات احتمالی
- غیرفعالسازی عملکردهای غیرضروری در افزونه
- فعالسازی احراز هویت چندمرحلهای (MFA) برای حسابهای مدیریتی وردپرس
- ارزیابی امنیتی دورهای و بازبینی تنظیمات مجوزها و نقشهای کاربری
منبع خبر:
- 12