آسیبپذیریهای CVE-2025-5393 و CVE-2025-5394 با شدت 9.1 و 9.8 مربوط به نقص امنیتی بحرانی در قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone هستند که به دلیل صحتسنجی ناکافی مسیر فایل در تابع alone_import_pack_restore_date، آسیبپذیر به حذف و آپلود فایل دلخواه در نسخه آسیبپذیر و نسخههای قبلی آن میباشد. این موضوع به مهاجمان بدون احراز هویت امکان میدهد تا فایلها را بهصورت دلخواه در سرور حذف کنند که میتواند منجر به اجرای کد از راه دور (Remote Code Execution) شود (مانند wp-config.php).
محصولات تحت تأثیر
محصول تحت تأثیر این آسیبپذیری، قالب وردپرس چندمنظوره غیرانتفاعی خیریه the Alone میباشد.
توصیههای امنیتی
- بهروزرسانی قالب: نصب آخرین نسخه قالب یا وصله امنیتی رسمی ارائهشده توسط سازنده.
- محدودسازی دسترسیها و استفاده از سیاستهای حداقل دسترسی.
- آموزش کاربران به عدم بازکردن فایلها یا لینکهای مشکوک.
- استفاده از آنتیویروسهای بهروز.
منابع خبر:
- 5