آسیبپذیری CVE-2025-15001 با شدت 9.8 در افزونه FS Registration Password وردپرس به دلیل ضعف در فرآیند احراز هویت هنگام تغییر رمز عبور کاربران ایجاد شده است. این نقص باعث میشود هویت کاربر قبل از بهروزرسانی رمز عبور بهدرستی اعتبارسنجی نشود. در نتیجه، مهاجمان بدون نیاز به احراز هویت میتوانند رمز عبور هر حسابی، از جمله حسابهای مدیریتی، را تغییر دهند. با تصاحب حساب مدیر، امکان دسترسی کامل به پنل مدیریت وردپرس فراهم میشود. این سطح دسترسی میتواند برای نصب بدافزار، تغییر محتوای سایت یا اجرای کد مخرب مورد استفاده قرار گیرد. سوءاستفاده از این آسیبپذیری تهدید جدی برای امنیت و یکپارچگی وبسایت محسوب میشود. بنابراین رفع سریع آن برای سایتهای آسیبپذیر ضروری است..
- همه نسخهها تا و شامل 1.0.1
- سیستمهایی که ممکن است تحت تأثیر باشند:
- وبسایتهای وردپرسی که از این افزونه برای مدیریت رمزهای کاربران استفاده میکنند.
- بهروزرسانی افزونه FS Registration Password به آخرین نسخه امن.
- غیرفعالسازی موقت افزونه در صورت عدم نیاز تا زمان اعمال پچ.
- بررسی و بازنشانی رمزهای حسابهای کاربری حساس (بهویژه مدیران).
- فعالسازی احراز هویت چندمرحلهای (2FA) برای حسابهای مدیریت.
- نصب و فعالسازی افزونههای امنیتی وردپرس (مثل Wordfence) برای مانیتورینگ دسترسیها.
- محدود کردن دسترسی به صفحههای حساس ثبتنام/بازیابی رمز از طریق CAPTCHA یا فیلتر IP.
- بازبینی لاگها برای شناسایی تلاشهای غیرمجاز تغییر رمز.
- 118