CVE-2025-14071

چکیده

آسیب‌پذیری PHP Object Injection در پلاگین Live Composer وردپرس (نسخه‌های 2.0.2 و قدیمی‌تر)، از طریق deserialization ورودی‌های غیرقابل اعتماد در شورت‌کد dslc_module_posts_output، توسط کاربران احراز هویت‌شده Contributor+ قابل بهره‌برداری است. این ضعف به تنهایی اثر عملی ندارد و نیازمند زنجیره POP (دنباله اشیاء خطرناک برای اجرای کد مخرب) در پلاگین‌ها یا قالب‌های دیگر برای اجرای کد دلخواه، حذف فایل، افشای اطلاعات یا اقدامات مخرب است.

توضیحات

آسیب‌پذیری CVE-2025-14071 در پلاگین Live Composer – Free WordPress Website Builder ناشی از سریال‌زدایی ناامن (Deserialization) داده‌های غیرقابل اعتماد مطابق با CWE-502 است. این پلاگین به کاربران وردپرس امکان ایجاد صفحات وب با استفاده از شورت‌کدها و ماژول‌های مختلف را می‌دهد.

ضعف امنیتی در تابع پردازش شورت‌کد dslc_module_posts_output واقع در فایل module.php رخ می‌دهد، جایی که ورودی‌های ارسال‌شده توسط کاربر، از جمله پارامترهای شورت‌کد، بدون اعتبارسنجی کافی مستقیماً سریال‌زدایی می‌شوند. این موضوع به مهاجمان احراز هویت‌شده با سطح Contributor یا بالاتر اجازه می‌دهد تا با استفاده از شورت‌کد در پست‌ها یا صفحات، یک آبجکت PHP سریال‌سازی‌شده مخرب (Serialized PHP Object) تزریق کنند.

در صورت عدم وجود زنجیره POP (Property-Oriented Programming) ، تزریق آبجکت تنها باعث ایجاد یک آبجکت بی‌ضرر شده و هیچ تأثیری بر عملکرد سایت نخواهد داشت. اما اگر سایر پلاگین‌ها یا قالب‌های نصب‌شده روی سایت حاوی یک زنجیره POP مناسب باشند، مهاجم می‌تواند از این آسیب‌پذیری برای انجام اقدامات مخرب مانند حذف یا تغییر فایل‌های دلخواه، افشای اطلاعات حساس، اجرای کد دلخواه از راه دور و تزریق SQL یا تغییر داده‌ها استفاده کند. بهره‌برداری از این ضعف نیازمند دسترسی احراز هویت‌شده و اطلاع از وجود زنجیره POP در محیط سایت است. پیامدهای بالقوه این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای اطلاعات حساس، یکپارچگی با امکان تغییر داده‌ها و در دسترس‌پذیری با احتمال ایجاد کرش یا اختلال در سرویس است؛ اما تمامی این پیامدها تنها در صورت وجود زنجیره POP فعال می‌شوند. این آسیب‌پذیری با انتشار نسخه 2.0.3 و تغییرات در changeset 3419715 پچ شده است. در این نسخه پردازش ورودی شورت‌کد ایمن‌تر شده و از سریال زدایی غیرمعتبر جلوگیری می‌شود.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که live composer را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در پلاگین Live Composer، امکان تزریق آبجکت PHP را برای کاربران احراز هویت‌شده با سطح دسترسی Contributor یا بالاتر فراهم می‌کند. در صورت وجود زنجیره POP در سایر پلاگین‌ها یا قالب‌های نصب‌شده، مهاجم می‌تواند از این ضعف برای اجرای کد دلخواه، افشای اطلاعات حساس یا حذف فایل‌ها استفاده کند. با توجه به انتشار پچ امنیتی رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: پلاگین Live Composer را در اسرع وقت به نسخه 0.3 یا بالاتر به روزرسانی کنید. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین راهکار برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• بررسی زنجیره POP: پلاگین‌ها و قالب‌های نصب‌شده را برای شناسایی زنجیره‌های POP احتمالی بررسی کنید. ابزارهایی مانند PHPGGC (PHP Generic Gadget Chains) می‌توانند به شناسایی احتمالی زنجیره‌ها کمک کنند.
• محدودسازی دسترسی: سطح دسترسی Contributor را محدود به کاربران مورد اعتماد کنید و از پلاگین های مدیریت نقش ها مانند User Role Editor برای کنترل دقیق مجوزها استفاده نمایید.
• نظارت امنیتی: از پلاگین های امنیتی مانند Wordfence، Sucuri یا MalCare برای تشخیص تلاش‌های سریال‌ زدایی مشکوک و ثبت لاگ فعالیت‌های شورت‌کد استفاده کنید.
• فعال‌سازی فایروال اپلیکیشن وب: فایروال‌هایی مانند Cloudflare یا ModSecurity را پیکربندی کنید تا پیلودهای سریال‌زدایی شده مشکوک را پیش از رسیدن به پلاگین مسدود نمایند.
• آموزش و بهترین شیوه‌ها: توسعه‌دهندگان و مدیران را نسبت به ریسک سریال‌زدایی ناامن در PHP و وردپرس آگاه کنید و بر استفاده از روش های سریال‌زدایی ایمن (مانند با allowed_classes=false) در کد سفارش تأکید نمایید.
• اسکن و ارزیابی منظم: پس از به‌روزرسانی، سایت را با ابزارهای اسکن آسیب‌پذیری وردپرس (مانند WPScan یا Wordfence) بررسی کنید تا اطمینان حاصل شود که پچ اعمال شده و هیچ فایل مخربی باقی نمانده است.

اجرای فوری به‌روزرسانی همراه با اقدامات مکمل، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش می‌دهد و امنیت سایت‌های وردپرسی مبتنی بر صفحه‌سازها را به شکل قابل توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack (در زمان اجرای حمله)

TA0001: Initial Access
مهاجم ابتدا با ایجاد حساب کاربری وردپرس با سطح دسترسی Contributor یا بالاتر (شرط احراز هویت ضروری) به سایت هدف دسترسی اولیه پیدا می‌کند و از طریق پنل مدیریت یا ویرایشگر پست‌ها، شورت‌کد dslc_module_posts_output را در یک پست یا صفحه جدید با پارامترهای سریال‌شده مخرب دستکاری می‌کند تا شیء PHP تزریق شود.

TA0002: Execution
پس از ذخیره پست حاوی شورت‌کد مخرب، مهاجم آن را در مرورگر یا از راه دور بازدید می‌کند تا شورت‌کد اجرا شده و deserialization شیء PHP انجام گیرد؛ در صورت وجود زنجیره POP در پلاگین‌ها یا قالب‌های دیگر سایت (شرط کلیدی)، این فرآیند به اجرای کد دلخواه از طریق توابع خطرناک مانند __destruct یا __wakeup منجر می‌شود.

TA0003: Persistence
با اجرای کد از طریق زنجیره POP، مهاجم می‌تواند backdoor یا وب‌شل در فایل‌های سایت (مانند wp-content/uploads) آپلود کند یا کرون‌جاب مخرب تنظیم نماید تا دسترسی پایدار حفظ شود، مشروط به اینکه زنجیره POP اجازه نوشتن فایل یا اجرای دستورات سیستمی را فراهم کند.

TA0005: Defense Evasion
مهاجم از طریق اجرای کد حاصل از زنجیره POP، لاگ‌های وردپرس را پاک کرده یا دسترسی‌های مشکوک را مخفی می‌کند، مثلاً با تغییر فایل‌های لاگ یا استفاده از obfuscation در شیء تزریق‌شده برای جلوگیری از تشخیص توسط فایروال‌های WAF.

TA0007: Discovery
پس از اجرای اولیه کد، مهاجم با دستورات PHP یا shell از راه دور، ساختار سایت را اسکن می‌کند (مانند لیست پلاگین‌ها، فایل‌ها و دیتابیس) تا زنجیره POP مناسب را شناسایی یا تأیید کند و اهداف بعدی را کشف نماید.

TA0006: Credential Access
بهره‌برداری از زنجیره POP اجازه دسترسی به فایل wp-config.php یا جدول کاربران دیتابیس را می‌دهد تا رمزهای عبور، کلیدهای API یا اطلاعات حساس استخراج شود، این کار منوط است بر وجود POP chain با قابلیت خواندن فایل.

TA0040: Impact
در نهایت، این حملات منجر به افشای اطلاعات حساس (مانند داده‌های کاربران)، تغییر یا حذف فایل‌ها/داده‌های دیتابیس، اجرای کد دلخواه از راه دور و اختلال در سرویس سایت (مانند کرش یا downtime) می‌شود، که محرمانگی، یکپارچگی و در دسترس‌پذیری را به شدت تحت تأثیر قرار می‌دهد، اما تنها در حضور زنجیره POP فعال در محیط هدف محقق می‌گردد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-14071
2. https://www.cvedetails.com/cve/CVE-2025-14071/
3. https://www.wordfence.com/threat-intel/vulnerabilities/id/4b15c991-5256-405c-8382-85dba6f032ba?source=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-14071
5. https://vuldb.com/?id.337690
6. https://plugins.trac.wordpress.org/browser/live-composer-page-builder/trunk/modules/posts/module.php#L2807
7. https://plugins.trac.wordpress.org/browser/live-composer-page-builder/tags/1.5.53/modules/posts/module.php#L2807
8. https://github.com/live-composer/live-composer-page-builder/commit/2b0b430ab107eb6cb72196251e429a695c11e41b
9. https://plugins.trac.wordpress.org/changeset/3419715/live-composer-page-builder/trunk/modules/posts/module.php
10. https://cwe.mitre.org/data/definitions/502.html