کشف آسیب‌پذیری در WordPress

AdForest یک قالب تجاری وردپرس است که با ارائه‌ی قابلیت‌هایی مانند مدیریت کاربران، ارسال آگهی و پرداخت آنلاین برای طراحی و پیاده‌سازی وب‌سایت‌های آگهی، خرید و فروش و نیازمندی‌ها مورد استفاده قرار می‌گیرد. اخیراً آسیب‌پذیری CVE-2025-8359 با شدت 9.8 در این قالب شناسایی شده است که ناشی از ضعف در فرآیند اعتبارسنجی هویت کاربران است.

جزئیات آسیب‌پذیری

در این آسیب‌پذیری، سیستم قبل از تأیید اعتبار کاربر، بررسی‌های لازم را به‌طور کامل انجام نمی‌دهد. این نقص به مهاجم اجازه می‌دهد بدون داشتن رمز عبور معتبر و بدون احراز هویت صحیح، به‌عنوان یک کاربر از جمله مدیر وارد سامانه شود.

مهاجم می‌تواند با ارسال درخواست‌های مخرب به وب‌سایت آسیب‌پذیر، فرآیند ورود را دور بزند و خود را به‌عنوان کاربر مجاز معرفی کند. این امر به دلیل فقدان کنترل‌های کافی در لایه احراز هویت اتفاق می‌افتد و باعث می‌شود فرد غیرمجاز بتواند به پنل مدیریتی وردپرس دسترسی یابد، داده‌ها را تغییر دهد، حساب کاربری جدید ایجاد نموده و کنترل کامل وب‌سایت را در اختیار بگیرد.

بردار آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان می‌دهد مهاجم می‌تواند به سادگی، از راه دور و بدون نیاز به سطح دسترسی یا تعامل با کاربر از این نقص بهره‌برداری کند. با این حمله، محرمانگی، یکپارچگی و دسترس‌پذیری وب‌سایت به‌طور کامل تحت تأثیر قرار می‌گیرند. بنابراین، در صورت سوءاستفاده، منجر به دسترسی کامل مهاجم به سامانه، تغییر یا حذف داده‌ها و حتی از کار افتادن کامل سرویس می‌شود.

نسخه‌های تحت‌تأثیر

• AdForest 6.0.9 و تمامی نسخه‌های قبل از آن در برابر این نقص امنیتی آسیب‌پذیر هستند.

توصیه‌های امنیتی

• به‌روزرسانی قالب به نسخه‌ی 6.1.0 و بالاتر.

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8359

[2]https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/adforest/adforest-609-authe…

[3]https://www.cvedetails.com/cve/CVE-2025-8359

[4]https://www.cve.org/CVERecord?id=CVE-2025-8359