- شناسه CVE-2025-11705 :CVE
- CWE-862 :CWE
- yes :Advisory
- منتشر شده: اکتبر 29, 2025
- به روز شده: اکتبر 29, 2025
- امتیاز: 6.5
- نوع حمله: Arbitrary File Read
- اثر گذاری: Information Disclosure
- حوزه: سیستم مدیریت محتوا
- برند: scheeeli
- محصول: Anti-Malware Security and Brute-Force Firewall
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری Missing Authorization در پلاگین امنیتی Anti-Malware Security and Brute-Force Firewall وردپرس به دلیل عدم بررسی سطح دسترسی کاربر در چندین اکشن AJAX با پیشوند GOTMLS_* ایجاد شده است. این ضعف به کاربران احراز هویتشده با سطح دسترسی Subscriber یا بالاتر اجازه میدهد محتوای فایلهای دلخواه روی سرور را بخوانند و اطلاعات حساس را افشا کنند.
توضیحات
آسیبپذیری CVE‑2025‑11705 ناشی از عدم اعمال کنترل مجوز (Missing Authorization) مطابق با CWE‑862 و عدم بررسی سطح دسترسی کاربر (Capability Check) در چندین اکشن AJAX پلاگین Anti‑Malware Security and Brute‑Force Firewall وردپرس است. این اکشنها با پیشوند GOTMLS_* از طریق مسیر عمومی admin-ajax.php فراخوانی میشوند و در نسخههای آسیبپذیر، بدون بررسی مناسب سطح دسترسی کاربر، درخواستهای دریافتی را پردازش میکنند.
در نتیجه، کاربران احراز هویتشده با سطح دسترسی Subscriber یا بالاتر میتوانند با ارسال درخواستهای مخرب و مشخص کردن مسیر فایل، محتوای فایلهای موجود روی سرور را مستقیماً بازیابی کنند. این عملکرد منجر به یک خواندن فایل دلخواه (Arbitrary File Read) میشود، زیرا مکانیزمهای محدودسازی دسترسی و اعمال سیاستهای مجوز بهدرستی پیادهسازی نشدهاند.
بهرهبرداری از این آسیبپذیری بهصورت از راه دور و از طریق شبکه انجام میشود و به تعامل اضافی کاربر قربانی نیاز ندارد؛ پیشنیاز حمله، در اختیار داشتن یک حساب کاربری معتبر با سطح دسترسی Subscriber است.
پیامد اصلی این آسیبپذیری، نقض شدید محرمانگی (Confidentiality) است. مهاجم از طریق خواندن فایلهای دلخواه میتواند به اطلاعات حساس متعددی از جمله پیکربندیهای وردپرس، کلیدهای اتصال به پایگاه داده (Database Credentials)، کلیدهای امنیتی، توکنهای API، فایلهای لاگ و همچنین اطلاعات کاربران ذخیرهشده در فایلهای سیستمی یا پیکربندی دسترسی پیدا کند.
این ضعف امنیتی در نسخه 4.23.83 پلاگین بهطور کامل پچ شده است. پچ ارائهشده با اضافه کردن بررسیهای مجوز برای اکشنهای آسیبپذیر AJAX و اصلاح منطق کنترل دسترسی، از پردازش درخواستهای غیرمجاز جلوگیری میکند و همزمان سازگاری ارتباطات HTTP و HTTPS را بهبود میبخشد.
.CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 4.23.81 | Anti-Malware Security and Brute-Force Firewall |
لیست محصولات بروز شده
| Versions | Product |
| Update to version 4.23.83, or a newer patched version | Anti-Malware Security and Brute-Force Firewall |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Anti-Malware Security and Brute-Force Firewall را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 55 | site:.ir “Anti-Malware Security and Brute-Force Firewall” | Anti-Malware Security and Brute-Force Firewall |
نتیجه گیری
این آسیبپذیری با شدت متوسط در پلاگین Anti-Malware Security and Brute-Force Firewall امکان خواندن فایلهای دلخواه سرور را برای کاربران با دسترسی Subscriber فراهم میکند و میتواند منجر به افشای اطلاعات حساس شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک ضروری است:
- بهروزرسانی فوری: فوراً پلاگین را به نسخه 23.83 یا بالاتر بهروزرسانی کنید. این اقدام مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- مدیریت حسابهای Subscriber: تعداد کاربران با سطح دسترسی Subscriber را به حداقل برسانید، دسترسیهای آنها را نظارت کنید و در صورت امکان، قابلیت ثبتنام عمومی را غیرفعال نمایید.
- استفاده از فایروال و امنیت لایهای: از فایروال اپلیکیشن وب (WAF) مانند Wordfence، Sucuri یا Cloudflare برای مسدود کردن درخواستهای مشکوک به admin-ajax.php استفاده کنید. همچنین، ابزارهای امنیتی دیگر مانند iThemes Security یا All In One WP Security را به عنوان لایه دفاعی اضافی فعال نمایید.
- نظارت بر لاگها: درخواستهای AJAX به admin-ajax.php، بهویژه با اکشنهای GOTMLS_* را در لاگهای سرور و وردپرس مانیتور کنید و هرگونه فعالیت غیرعادی را بررسی نمایید.
- محدودسازی دسترسی به فایلها: مجوزهای فایل و دایرکتوریهای وردپرس را به حداقل ممکن تنظیم کنید تا فقط کاربران معتبر به آنها دسترسی داشته باشند.
- تغییر اعتبارها: در صورت احتمال بهرهبرداری، فوراً تمام کلیدهای امنیتی در wp-config.php، رمزهای عبور پایگاه داده و حساب های کاربری را تغییر دهید.
- تست امنیتی دورهای: سایت را با ابزارهای اسکن آسیبپذیری مانند WPScan یا ابزارهای Wordfence اسکن کنید و دسترسیهای AJAX را بهطور منظم بازبینی نمایید.
اجرای سریع بهروزرسانی و تقویت لایههای امنیتی، ریسک افشای اطلاعات حساس را بهطور قابلتوجهی کاهش داده و امنیت کلی سایت وردپرسی را حفظ میکند.
امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)
Initial Access (TA0001)
در بهرهبرداری از CVE-2025-11705، دسترسی اولیه زمانی حاصل میشود که مهاجم یک حساب کاربری معتبر با حداقل سطح دسترسی Subscriber در وردپرس در اختیار داشته باشد. شرط اساسی این مرحله آن است که وبسایت از پلاگین Anti-Malware Security and Brute-Force Firewall در نسخه آسیبپذیر استفاده کند و اکشنهای AJAX با پیشوند GOTMLS_* بدون بررسی Capability فعال باشند. در این وضعیت، صرف احراز هویت پایه برای ورود به سطح حمله کافی است و نیازی به دسترسی مدیریتی یا تعامل کاربر دیگر وجود ندارد.
Execution (TA0002)
اجرای حمله در زمانی اتفاق میافتد که مهاجم درخواستهای AJAX را مستقیماً به admin-ajax.php ارسال کرده و پارامترهای مربوط به مسیر فایل را در بدنه درخواست قرار دهد. شرط لازم در این مرحله، پردازش خودکار این درخواستها توسط پلاگین بدون کنترل مجوز است؛ بهگونهای که منطق داخلی پلاگین، درخواست را معتبر تلقی کرده و محتوای فایل مشخصشده را بازگرداند. این اجرا بدون نیاز به بارگذاری کد یا تغییر پیکربندی انجام میشود و کاملاً در چارچوب عملکرد عادی برنامه رخ میدهد.
Discovery (TA0007)
پس از موفقیت اولیه، مهاجم میتواند از قابلیت خواندن فایل برای شناسایی ساختار داخلی سامانه استفاده کند. شرط تحقق این تاکتیک آن است که مسیرهای فایل حساس یا قابل حدس در دسترس باشند و پاسخ سرور حاوی محتوای کامل فایل باشد. از طریق بررسی تدریجی فایلهای پیکربندی، لاگها یا ساختار دایرکتوری، تصویر دقیقتری از محیط وردپرس، افزونهها و تنظیمات امنیتی به دست میآید، بدون آنکه رفتار غیرعادی محسوسی ثبت شود.
Credential Access (TA0006)
این آسیبپذیری بهطور مستقیم میتواند در مسیر دسترسی به اطلاعات احراز هویت مورد استفاده قرار گیرد، مشروط بر آنکه فایلهای حاوی رمزها در سطح فایلسیستم قابل خواندن باشند. زمانی که فایلهای پیکربندی یا دادههای ذخیرهشده شامل نام کاربری، رمز عبور یا کلیدهای اتصال باشند، مهاجم قادر است این اطلاعات را استخراج کند، در حالی که هیچ مکانیزم کنترلی مانع این خواندن غیرمجاز نشده است.
Impact (TA0040)
پیامد نهایی بهرهبرداری از این آسیب پذیری نقض جدی محرمانگی اطلاعات سامانه است. افشای فایلهای حساس میتواند به درز پیکربندیهای امنیتی، اطلاعات اتصال به پایگاه داده و دادههای داخلی کاربران منجر شود و زمینه را برای حملات ثانویه گستردهتر فراهم کند. هرچند این ضعف بهطور مستقیم منجر به تخریب داده یا اختلال در سرویس نمیشود، اما کاهش شدید سطح اعتماد و از دست رفتن کنترل اطلاعات، اثر عملی آن را به سطحی میرساند که امنیت کلی سامانه وردپرس و زیرساخت میزبان بهطور معناداری تضعیف میشود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-11705
- https://www.cvedetails.com/cve/CVE-2025-11705/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e2c8838c-d29a-4df8-85b3-6e440ba7f962?source=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-11705
- https://vuldb.com/?id.330335
- https://plugins.trac.wordpress.org/changeset/3379118/gotmls
- https://nvd.nist.gov/vuln/detail/CVE-2025-11705
- https://cwe.mitre.org/data/definitions/862.html
