آسیبپذیریهای CVE-2025-7696 و CVE-2025-7697 با شدت 9.8 مربوط به افزونههای وردپرس یکپارچهسازی فرمها با سرویسهای خارجی مانند Pipedrive و Google Sheets هستند که در نسخههای قدیمی این افزونهها (≤1.2.3 و ≤1.1.1) وجود دارند. در این آسیبپذیریها، دادههای ورودی بدون اعتبارسنجی توسط تابع ناایمن ()unserialize پردازش میشوند که منجر به تزریق اشیاء PHP (PHP Object Injection) میشود. این وضعیت مهاجم را قادر میسازد با ارسال دادههای خاص، اشیای مخرب را به سیستم تزریق کرده و از طریق زنجیرهای از متدهای جادویی در کلاسهای دیگر افزونهها، حملاتی مانند اجرای کد از راه دور (RCE)، حذف فایلهای حساس مانند wp-config.php و در نهایت تخریب کامل وبسایت را انجام دهد.
بهرهبرداری از این آسیبپذیریها نیاز به احراز هویت ندارد و پیچیدگی آن پایین است؛ بنابراین تهدیدی جدی برای امنیت وبسایتهای وردپرسی محسوب میشود.
محصولات تحتتأثیر
-
افزونهی وردپرس Integration for Pipedrive and Contact Form 7, WPForms, Elementor, Ninja Forms
-
نسخههای 1.2.3 و پایینتر (Affected versions ≤ 1.2.3) — مرتبط با CVE-2025-7696
-
نسخههای 1.1.1 و پایینتر (Affected versions ≤ 1.1.1) — مرتبط با CVE-2025-7697
-
توصیههای امنیتی
- برای مقابله با آسیبپذیریهای CVE-2025-7696 و CVE-2025-7697، موارد زیر توصیه میشود:
- افزونههای آسیبپذیر را سریعاً به نسخههای جدیدتر بهروزرسانی کنید یا در صورت نیاز، موقتاً غیرفعال نمایید.
- استفادهی ناامن از تابع ()unserialize باید اصلاح شده و کدها ایمنسازی شوند.
- نظارت مداوم بر لاگها و رفتارهای مشکوک ضروری است.
- بهرهگیری از فایروال وب (WAF) میتواند حملات تزریق را کاهش دهد.
- پشتیبانگیری منظم و محدودسازی دسترسیها را فراموش نکنید تا سایت در برابر حملات مقاوم باشد.
منابع خبر:
- 13