آسیبپذیری CVE-2025-8059 با شدت 9.8 یک ضعف امنیتی بحرانی در افزونه B Blocks وردپرس (تمامی نسخهها تا و شامل 2.0.6) است که ناشی از عدم بررسی مجوز (Missing Authorization) و اعتبارسنجی نادرست ورودی در تابع ()rgfr_registration میباشد. این نقص به مهاجم غیراحراز هویتشده اجازه میدهد با ارسال درخواست ساخت کاربر جدید، نقش آن را مستقیماً به مدیر (Administrator) تغییر دهد. در نتیجه، مهاجم میتواند کنترل کامل وبسایت را در دست بگیرد، محتوای سایت را تغییر دهد یا دادههای حساس را سرقت کند.
محصولات تحتتأثیر
- افزونهی B Blocks وردپرس (B Blocks WordPress plugin)
- نسخههای آسیبپذیر: تمامی نسخهها تا و شامل 2.0.6
توصیههای امنیتی
- بهروزرسانی فوری افزونهی B Blocks به آخرین نسخه امن منتشرشده.
- غیرفعال کردن ثبتنام عمومی کاربران تا زمان رفع کامل آسیبپذیری.
- بازبینی و حذف حسابهای کاربری مشکوک که ممکن است توسط مهاجم ایجاد شده باشند.
- بررسی تغییرات نقش کاربران و اطمینان از عدم تخصیص غیرمجاز نقش مدیر (Administrator).
- فعالسازی ثبت و پایش لاگها برای شناسایی تلاشهای ساخت حساب غیرمجاز.
- استفاده از افزونههای امنیتی وردپرس برای محدودسازی دسترسیها و شناسایی رفتار مشکوک.
منبع خبر:
- 4