افزونهی GB Forms DB یک افزونه در وردپرس است که برای ذخیرهسازی دادههای فرمها در پایگاه داده سایت استفاده میشود. این افزونه به مدیر سایت این امکان را میدهد که اطلاعاتی که کاربران از طریق فرمهای مختلف مانند فرم تماس، ثبتنام یا نظرسنجی وارد میکنند، در پایگاه داده وردپرس ذخیره کرده و بعداً از طریق پیشخوان وردپرس آنها را مشاهده، مدیریت یا خروجیگیری کند.
افزونهی GB Forms DB در وردپرس نسخهی 1.0.2 و قبل از آن نسبت به آسیبپذیری اجرای کد از راه دور آسیبپذیر است. این آسیبپذیری از طریق تابع ()gbfdb_talk_to_front رخ میدهد. دلیل این آسیبپذیری این است که این تابع ورودی کاربر را دریافت کرده و آن را بدون بررسی کافی از طریق ()call_user_func اجرا میکند. این موضوع باعث میشود مهاجمان بدون احراز هویت بتوانند کد مخرب روی سرور اجرا کنند؛ که این امر میتواند جهت اقداماتی مانند نصب درب پشتی یا ایجاد حسابهای کاربری مدیر جدید مورد سوءاستفاده قرار گیرد.
محصولات آسیبپذیر
- نسخههای قبل از 1.0.3
توصیههای امنیتی
- به کاربران توصیه میشود هرچه سریعتر نسخهی قدیمی افزونه را با آخرین نسخه (1.0.3) بهروزرسانی و جایگزین کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-5392
[2]https://plugins.trac.wordpress.org/browser/gb-forms-db/trunk/core/functions.php#L334
- 70