آسیبپذیری CVE-2025-13773 با شدت 9.8 یک نقص امنیتی بحرانی در افزونه Print Invoice & Delivery Notes for WooCommerce وردپرس است که تا نسخه 5.8.0 وجود دارد. این مشکل به دلیل نبود بررسی سطح دسترسی در تابع WooCommerce_Delivery_Notes::update ایجاد شده و باعث میشود کاربران غیرمجاز بتوانند به این تابع دسترسی پیدا کنند. در کنار این ضعف، فعال بودن اجرای کد PHP در کتابخانه Dompdf و نبود escaping مناسب در فایل template.php شرایط را برای اجرای کد دلخواه روی سرور فراهم میکند. مهاجم بدون نیاز به احراز هویت میتواند کد مخرب خود را اجرا کرده و کنترل سرور را به دست بگیرد. این آسیبپذیری میتواند منجر به سرقت اطلاعات، دستکاری سایت یا نصب بدافزار شود. به دلیل سادگی بهرهبرداری و تأثیر گسترده، این نقص یک تهدید جدی برای وبسایتهای ووکامرسی محسوب میشود.
- افزونه: Print Invoice & Delivery Notes for WooCommerce
- پلتفرم: وبسایتهای WordPress که از ووکامرس استفاده میکنند
- نسخههای آسیبپذیر: تمام نسخهها تا و شامل 5.8.0.
- بهروزرسانی فوری افزونه به آخرین نسخهی وصلهشده (جدای از نسخههای ≤ 5.8.0).
- حذف/غیرفعالسازی موقت افزونه در صورت عدم نیاز تا زمان رفع کامل.
- فعالسازی فایروال وب (WAF) برای جلوگیری از درخواستهای مخرب به تابع update.
- بررسی لاگها برای شناسایی تلاشهای غیرمجاز برای اجرای کد.
- محدود کردن دسترسی به بخشهای مدیریتی و APIهای مرتبط با این افزونه.
- استفاده از پلاگینهای امنیتی وردپرس مانند Wordfence یا iThemes Security.
- مانیتورینگ مداوم فایلها و دایرکتوریهای حساس برای شناسایی تغییرات ناخواسته.
- 15