CVE-2025-10690

چکیده

آسیب‌پذیری بحرانی در قالب Goza – Nonprofit Charity WordPress Theme نسخه‌های 3.2.2 و پایین‌تر ناشی از عدم بررسی مجوز (capability check) در تابع beplus_import_pack_install_plugin است که امکان بارگذاری فایل‌های دلخواه بدون احراز هویت را فراهم می‌کند. مهاجمان می‌توانند فایل‌های دلخواه را به‌صورت بسته‌های ZIP و دارای وب‌شلِ استتار‌شده به‌عنوان پلاگین، از مکان‌های راه دور بارگذاری کرده و به اجرای کد از راه دور (RCE) دست پیدا کنند.

توضیحات

آسیب‌پذیری CVE-2025-10690 در قالب Goza – Nonprofit Charity WordPress Theme که برای سازمان‌های خیریه، غیرانتفاعی و جمع آوری کمک مالی طراحی شده، ناشی از عدم بررسی مجوز در تابع beplus_import_pack_install_plugin است که مطابق با CWE-862 طبقه‌بندی می‌شود.

این ضعف در تمام نسخه‌های 3.2.2 و پایین‌تر وجود دارد و به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد فایل‌های ZIP حاوی وب شل ها را به عنوان پلاگین‌های جعلی از راه دور بارگذاری کنند.

این آسیب‌پذیری از طریق اندپوینت نصب پلاگین بدون بررسی دسترسی قابل بهره‌برداری بوده، با پیچیدگی پایین و بدون نیاز به احراز هویت یا تعامل کاربر انجام می شود. مهاجم می‌تواند فایل ZIP مخرب را بارگذاری کرده و آن را فعال کند که این موضوع منجر به اجرای کد از راه دور (RCE) می‌شود.

این ضعف می‌تواند منجر به نقض شدید محرمانگی با دسترسی به داده‌های حساس سایت، یکپارچگی با تغییر محتوای سایت یا نصب بدافزار و در دسترس‌پذیری با ایجاد اختلال یا کرش سیستم شود. توسعه‌دهندگان قالب وردپرس این آسیب پذیری را در نسخه 3.2.3 پچ کرده‌اند که شامل افزودن بررسی مجوز و محدود کردن نصب پلاگین به کاربران مجاز است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Nonprofit Charity WordPress Theme را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در قالب Goza – Nonprofit Charity WordPress Theme، به دلیل امکان بارگذاری فایل‌های دلخواه بدون احراز هویت از طریق نصب پلاگین، تهدیدی جدی برای سایت‌های وردپرسی ایجاد می‌کند که می‌تواند منجر به اجرای کد از راه دور(RCE)، سرقت داده‌ها یا کنترل کامل سرور شود. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

• به‌روزرسانی فوری: قالب Goza را به نسخه 3.2.3 یا بالاتر به‌روزرسانی کنید تا بررسی‌های مجوز اعمال شود.
• غیرفعال‌سازی نصب پلاگین از راه دور: نصب پلاگین را تنها از داشبورد وردپرس انجام دهید و قابلیت نصب از راه دور قالب را غیرفعال کنید.
• محدودسازی دسترسی: دسترسی به اندپوینت های نصب پلاگین را با فایروال یا تنظیمات .htaccess محدود کنید.
• نظارت بر فایل‌های بارگذاری: دایرکتوری‌های قالب و پلاگین را برای شناسایی فایل‌های مشکوک مانند وب شل های PHP اسکن کنید.
• استفاده از پلاگین های امنیتی: از فایروال‌های وردپرس مانند Wordfence یا Sucuri برای مسدود کردن درخواست‌های مخرب به اندپوینت های نصب استفاده کنید.
• بررسی لاگ‌ها: لاگ‌های وردپرس را برای تلاش‌های بارگذاری ZIP غیرمجاز بررسی کنید.
• آموزش کاربران: مدیران سایت را در مورد ریسک عدم بررسی مجوز (missing authorization) و اهمیت به‌روزرسانی قالب ها آگاه کنید.

اجرای این اقدامات، ریسک اجرای کد از راه دور را به حداقل رسانده و امنیت سایت‌های وردپرسی را در برابر ضعف‌های قالب ها تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
نبودِ بررسی سطح دسترسی (capability check) در تابع beplus_import_pack_install_plugin داخل قالب Goza (≤ 3.2.2) باعث می‌شود مهاجم بدون احراز هویت بتواند از بیرون، درخواست نصب پکیج ZIP از راه دور ارسال کند و با بارگذاری پلاگینِ جعلی (وب‌شلِ استتارشده) دسترسی اولیه روی سایت وردپرسی بگیرد.

Execution (TA0002)
پس از استقرار وب‌شل (مثلاً فایل‌های .php مهاجم با فراخوانی مستقیم URL آن)، کد دلخواه را در مفسر PHP اجرا می‌کند و به RCE در کانتکست وب‌سرور می‌رسد.

Persistence (TA0003)
وب‌شل/پلاگینِ جعلی به‌عنوان مؤلفه سمت‌سرور باقی می‌ماند مانند قرارگیری در wp-content/plugins یا uploads و با هر فراخوانی، دسترسی پایدار فراهم می‌کند؛ همچنین مهاجم می‌تواند هوک برای بقا ثبت کند.

Privilege Escalation (TA0004)
در صورت پیکربندی ضعیف یا وجود نقص‌های محلی ، اجرای کد از وب‌شل می‌تواند به ارتقای امتیاز از کاربر وب‌سرور به سطح بالاتر حتی root منجر شود؛ یا با سوءِاستفاده از رکوردهای یافت‌شده جهش سطحی رخ دهد.

Defense Evasion (TA0005)
پنهان‌سازی وب‌شل در قالب «پلاگین» یا نام‌های دوپسوندی (invoice.zip → plugin.php) برای عبور از کنترل‌های سطحی و انجام برخی کارهای دیگر برای انجام عملیات مخفی سازی مانند پاک کردن لاگ ها.

Credential Access (TA0006)
خواندن wp-config.php و سایر فایل‌های پیکربندی/بکاپ‌ها برای استخراج رکوردهای دیتابیس، کلیدهای API و توکن‌ها از طریق وب‌شل.

Discovery (TA0007)
از طریق مواردی مانند پویش ساختار فایل‌ها/پوشه‌ها و نسخه پلاگین‌ها/قالب‌ها قابل انجام است

Lateral Movement (TA0008)
استفاده از رکوردهای به‌دست‌آمده یا اکسپلویت سرویس‌های هم‌جوار (SSH/SMB/DB) جهت حرکت جانبی از وب‌سرور به سایر میزبان‌ها میتواند صورت گید

Collection (TA0009)
جمع‌آوری دامپ‌های DB، بکاپ‌ها، لاگ‌ها، کلیدها و محتوای کاربران برای افشا/اخاذی/فروش.

Exfiltration (TA0010)
خروج داده‌ها از همان کانال HTTP/HTTPS وب‌شل یا بارگذاری به سرویس‌های ثالث؛ امکان مخلوط‌سازی با ترافیک مشروع برای کاهش کشف ممکن است.

Command and Control (TA0011)
کنترل مداوم از طریق درخواست‌های وب (Beacon/Poll) و انتقال ابزارهای اضافی/لودرها به میزبان آلوده بر بستر HTTP/HTTPS. ممکن است

Impact (TA0040)

تخریب چهره سایت (Defacement)، نابودی/رمزگذاری دیتا، توقف سرویس، نقض محرمانگی/یکپارچگی، و اختلال عملیاتی

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-10690
2. https://www.cvedetails.com/cve/CVE-2025-10690/
3. https://www.wordfence.com/threat-intel/vulnerabilities/id/628bfa19-2ffa-426b-8b88-22a0c4d0ba92?source=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10690
5. https://vuldb.com/?id.324949
6. https://nvd.nist.gov/vuln/detail/CVE-2025-10690
7. https://cwe.mitre.org/data/definitions/862.html