آسیبپذیری CVE-2025-15027 با شدت 9.8 در افزونه وردپرسی JAY Login & Register به دلیل ضعف در اعتبارسنجی درخواستهای ثبتنام کاربران ایجاد شده است. این افزونه اجازه میدهد مهاجم بدون احراز هویت، متادیتای کاربران را بهصورت دلخواه تغییر دهد. در نتیجه، مهاجم میتواند نقش کاربری خود را به مدیر (Administrator) ارتقا دهد. این نقص منجر به دسترسی کامل به سایت وردپرسی میشود. تمام نسخهها تا 2.6.03 تحت تأثیر قرار دارند. سوءاستفاده از این آسیبپذیری بسیار ساده و از راه دور امکانپذیر است. این مسئله یک تهدید بحرانی برای امنیت سایت محسوب میشود. بهروزرسانی فوری افزونه توصیه میشود.
- افزونه WordPress:
JAY Login & Register
- تمام نسخهها تا و شامل 2.6.03
این آسیبپذیری بهدلیل نقص در تابع jay_login_register_ajax_create_final_user رخ میدهد و به مهاجم غیرمعتبر اجازه میدهد متادیتای کاربری را تغییر دهد و نقش خود را به Administrator ارتقا دهد.
- بهروزرسانی افزونه JAY Login & Register به آخرین نسخه امن.
- غیرفعالسازی موقت افزونه در صورت عدم نیاز تا زمان پچ رسمی.
- نصب افزونههای امنیتی مانند Wordfence یا iThemes Security برای شناسایی تلاشهای سوءاستفاده.
- استفاده از CAPTCHA یا محدودسازی درخواستهای AJAX حساس.
- بازبینی و مدیریت نقشهای کاربری و حذف حسابهای مشکوک.
- بررسی لاگها برای شناسایی تلاشهای غیرمجاز ارتقای دسترسی.
- 14