- شناسه CVE-2025-10136 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 26, 2025
- به روز شده: سپتامبر 26, 2025
- امتیاز: 6.4
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: douglaskarr
- محصول: TweetThis Shortcode
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در پلاگین TweetThis Shortcode برای وردپرس تا نسخه 1.8.0 به دلیل پاکسازی ناکافی ورودی و عدم فرار خروجی (output escaping) ویژگیهای ارائه شده توسط کاربر در شورتکد tweetthis است که برای مهاجمان احراز هویتشده با دسترسی Contributor یا بالاتر، امکان تزریق اسکریپتهای وب دلخواه (Stored XSS) را فراهم میکند. این اسکریپت ها با بازدید کاربران از صفحات اجرا میشوند.
توضیحات
آسیبپذیری CVE-2025-10136 در پلاگین TweetThis Shortcode برای وردپرس، ناشی از پاکسازی ناکافی ورودی و عدم فرار خروجی ویژگیهای ارائه شده توسط کاربر در شورتکد tweetthis است که طبق استاندارد CWE-79 طبقهبندی میشود.
این ضعف در تمام نسخههای تا 1.8.0 وجود دارد و به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد اسکریپتهای وب دلخواه (Stored XSS) را در صفحات تزریق کنند.
این آسیبپذیری از طریق شبکه با پیچیدگی پایین، بدون نیاز به تعامل کاربر و با سطح دسترسی Contributor قابل بهرهبرداری است. مهاجم میتواند با تزریق اسکریپتهای مخرب از طریق شورتکد tweetthis، کدهای جاوااسکریپت را در صفحات ذخیره کند؛ این اسکریپتها هنگام بازدید کاربران اجرا شده و ممکن است منجر به سرقت کوکیها، استفاده غیرمجاز از نشست کاربری یا هدایت کاربران به سایتهای فیشینگ شود.
پیامدهای این آسیبپذیری شامل نقض محدود محرمانگی و یکپارچگی است. شدت ریسک متوسط ارزیابی شده اما برای سایتهای وردپرسی قابل توجه است. تاکنون پچ رسمی منتشر نشده و توصیه میشود پلاگین را بررسی یا با نسخهای امنتر جایگزین کنید.
CVSS
| Score | Severity | Version | Vector String |
| 6.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 1.8.0 | TweetThis Shortcode |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که WordPress Plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور پلاگین های محصولات وردپرس در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 28,800 | WordPress Plugin |
نتیجه گیری
این آسیبپذیری با شدت متوسط در پلاگین TweetThis Shortcode یک تهدید جدی برای سایتهای وردپرسی محسوب می شود و امکان تزریق اسکریپتهای وب دلخواه (Stored XSS) را فراهم میکند. با توجه به عدم انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:
- حذف یا جایگزینی پلاگین : پلاگین TweetThis Shortcode را فوراً حذف کرده یا با پلاگین های امن جایگزین نمایید.
- محدودسازی دسترسی: سطح دسترسی Contributor و بالاتر را محدود کرده و قابلیت استفاده از شورتکد tweetthis را فقط برای ادمینها فعال کنید.
- نظارت بر محتوا: تمام صفحات و پستها را برای شناسایی شورتکدهای مشکوک اسکن کنید، از ابزارهای امنیتی مانند Wordfence یا Sucuri برای تشخیص XSS استفاده کنید و لاگهای وردپرس را برای تزریقهای اسکریپت احتمالی بررسی نمایید.
- اسکن امنیتی منظم: سایت را به صورت دوره ای اسکن کنید تا از عدم بهرهبرداری از آسیب پذیری اطمینان حاصل شود.
- آموزش کاربران: مدیران سایت را در مورد ریسک XSS و اهمیت اعتبارسنجی ورودیها آگاه سازید.
اجرای این توصیهها ریسک Stored XSS را به حداقل رسانده و امنیت سایت وردپرسی را در برابر حملات کاربران احراز هویتشده تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه معمولاً از طریق یک حساب کاربری Contributor (یا بالاتر) حاصل میشود — مهاجم با بارگذاری شورتکد آلوده در یک پست یا فیلدِ ورودی، نقطه ورود را در فضای محتوایی سایت ایجاد میکند.
Execution (TA0002)
کد جاوااسکریپت تزریقشده هنگام بازدید صفحه توسط کاربران اجرا میشود و میتواند رفتار مرورگر قربانی را تغییر دهد (سرقت نشست، درخواستهای جعلی، یا بارگذاری اسکریپتهای خارجی).
Persistence (TA0003)
محتوای مخرب بهصورت دائمی در پایگاهداده ذخیره میشود (stored XSS) و تا وقتی که حذف نشود، در هر بار بارگذاری صفحه اجرا میماند — بنابراین حمله پایداری در لایه محتوا ایجاد میکند.
Privilege Escalation (TA0004)
با سرقت کوکیها یا نشستهای کاربری مدیران، مهاجم میتواند به حسابهای با سطح دسترسی بالاتر دست یابد و عملیات مدیریتی (نصب پلاگین، تغییر تنظیمات) را انجام دهد.
Defense Evasion (TA0005)
مهاجم میتواند payload را بهگونهای قالببندی کند که از فیلترهای ساده متن عبور کند، نامهای پارامترها را فریب دهد یا رفتار مخرب را در اولین اجرای که لاگنمیشود پنهان کند تا از تحلیل لاگ و تشخیص دستی فرار کند.
Credential Access (TA0006)
کد اجراشده میتواند اطلاعات احراز هویت را سرقت کند. کوکیهای نشست، توکنهای CSRF یا فرمهایی که کاربر پر میکند و این اطلاعات را برای دسترسی بعدی بهکار ببرد.
Lateral Movement (TA0008)
با استفاده از نشستهای بهدستآمده یا حسابهای ارتقایافته، مهاجم میتواند در سایت گستردهتر حرکت کند — ایجاد اکانتهای جدید، نصب افزونه مخرب یا دسترسی به دیگر سایتهای متصل به همان زیرساخت.
Collection (TA0009)
مهاجم میتواند دادههای حساس را از صفحات و فرمها استخراج کند (اطلاعات کاربران، ایمیلها، محتواهای خصوصی) و آنها را در یک نقطه مرکزی جمعآوری نماید.
Exfiltration (TA0010)
دادههای جمعآوریشده یا نشستهای سرقتشده معمولاً از طریق درخواستهای مخفی (AJAX / beacon) یا بارگذاری فایل به سرورهای خارجی ارسال میشوند تا از کشف محلی اجتناب شود.
Impact (TA0040)
پیآمد نهایی شامل نقض محرمانگی (افشای نشستها و دادهها)، نقض یکپارچگی (تزریق محتوا یا تغییر پستها/تنظیمات) و کاهش اطمینانپذیری خدمات است؛ در مواردی میتواند منجر به فیشینگ داخلی، دسترسی کامل مدیریتی یا تخریب محتوایی گردد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-10136
- https://www.cvedetails.com/cve/CVE-2025-10136/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e45e0ff1-3e74-4eee-a4ff-8ec033599bc3?source=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10136
- https://vuldb.com/?id.325952
- https://plugins.svn.wordpress.org/tweetthis-shortcode/tags/1.8.0/dkts.php
- https://nvd.nist.gov/vuln/detail/CVE-2025-10136
- https://cwe.mitre.org/data/definitions/79.html
