آسیبپذیری CVE-2025-13618 یک نقص بحرانی از نوع Privilege Escalation در افزونه Mentoring برای WordPress است. این آسیبپذیری به دلیل محدود نکردن صحیح نقشهایی ایجاد شده که کاربران میتوانند هنگام ثبتنام انتخاب کنند.این نقص در تابع `mentoring_process_registration()` قرار دارد و باعث میشود مهاجم بدون احراز هویت بتواند از فرایند ثبتنام سوءاستفاده کرده و حساب کاربری با سطح دسترسی مدیریتی ایجاد کند. در صورت بهرهبرداری موفق، مهاجم میتواند به پنل مدیریت وردپرس دسترسی یافته و کنترل کامل سایت را در اختیار بگیرد.
محصولات تحت تأثیر
-
افزونه Mentoring برای WordPress
-
تمام نسخهها تا و شامل 1/2/8
توصیههای امنیتی
-
با توجه به اینکه این آسیبپذیری میتواند منجر به ایجاد حساب مدیریتی توسط مهاجم بدون احراز هویت شود، مدیران سایتهای وردپرسی باید استفاده از افزونه Mentoring را فوراً بررسی کنند.
-
در صورت استفاده از نسخه آسیبپذیر، توصیه میشود افزونه به آخرین نسخه موجود بهروزرسانی شود و تا زمان اطمینان از رفع آسیبپذیری، امکان ثبتنام عمومی کاربران غیرفعال یا محدود گردد. همچنین لازم است فهرست کاربران دارای نقش Administrator بررسی شود و در صورت مشاهده حسابهای ناشناس یا مشکوک، دسترسی آنها حذف و رمز عبور حسابهای مدیریتی تغییر داده شود.
-
بررسی لاگهای ثبتنام، ورود کاربران و تغییر نقشها نیز برای شناسایی هرگونه سوءاستفاده احتمالی توصیه میشود.
منبع خبر
- 10