خانه » CVE-2025-14855
هشدار‌های سایبری

CVE-2025-14855

SureForms - Unauthenticated Stored Cross-Site Scripting

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 204 بازدید
هشدار سایبری CVE-2025-14855
  • شناسه CVE-2025-14855 :CVE
  • CWE-79 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 21, 2025
  • به روز شده: دسامبر 21, 2025
  • امتیاز: 7.2
  • نوع حمله: Cross Site Scripting (XSS)
  • اثر گذاری: Information Disclosure
  • حوزه: سیستم مدیریت محتوا
  • برند: brainstormforce
  • محصول: Payment Form & Other Custom Form Builder
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری XSS ذخیره‌شده (Stored Cross-Site Scripting) در پلاگین SureForms وردپرس به مهاجمان بدون نیاز به احراز هویت اجازه می‌دهد اسکریپت‌های مخرب دلخواه را در صفحات وب تزریق کنند. این ضعف به دلیل عدم پاک‌سازی کافی ورودی‌ها و خنثی‌سازی نامناسب خروجی‌ها در پارامترهای فیلدهای فرم ایجاد شده است و تمامی نسخه‌های 2.2.0 و قدیمی‌تر را تحت تأثیر قرار می‌دهد. اسکریپت‌های تزریق‌شده به‌صورت ذخیره‌شده در برنامه باقی می‌مانند و هنگام مشاهده صفحات آلوده توسط کاربران، در مرورگر آن‌ها اجرا می‌شوند و می‌توانند منجر به سرقت کوکی‌ها، نشست‌های کاربری، اطلاعات حساس یا اجرای اقدامات مخرب شوند.

توضیحات

آسیب‌پذیری CVE-2025-14855 در پلاگین SureForms برای وردپرس ناشی از عدم خنثی‌سازی مناسب ورودی در هنگام تولید صفحات وب مطابق با CWE-79 است. این پلاگین که برای ایجاد فرم‌های تماس، پرداخت و سایر فرم‌های سفارشی در محیط وردپرس به‌کار می‌رود، در نسخه‌های 2.2.0 و قدیمی‌تر، داده‌های دریافت‌شده از فیلدهای فرم را به‌درستی پاک‌سازی (Input Sanitization) نکرده و هنگام نمایش نیز خروجی‌سازی امن (Output Escaping) را به‌صورت کامل اعمال نمی‌کند.

در نتیجه این ضعف، مهاجمان می‌توانند بدون نیاز به احراز هویت و صرفاً از طریق ارسال فرم‌های عمومی، کدهای مخرب جاوااسکریپت را در پارامترهای فیلدهای فرم تزریق کنند. داده‌های تزریق‌شده در پایگاه داده ذخیره می‌شوند و هنگام نمایش در بخش‌های مختلف پلاگین، از جمله صفحات عمومی فرم، پیش‌نمایش‌ها یا رابط‌های مدیریتی، بدون اعمال خنثی‌سازی مناسب خروجی به کاربران نمایش داده می‌شوند. این عملکرد منجر به شکل‌گیری سناریوی XSS ذخیره‌شده می‌شود که در آن کد مخرب به‌صورت پایدار در برنامه باقی می‌ماند.

بهره‌برداری از این ضعف نسبتا ساده است؛ مهاجم می‌تواند با استفاده از یک مرورگر و بدون داشتن حساب کاربری، پیلودهای XSS را از طریق فرم ارسال کند. پس از ذخیره شدن داده مخرب، هر کاربر یا مدیری که صفحه آلوده را مشاهده کند، اسکریپت تزریق‌شده در مرورگر او اجرا خواهد شد. این امر می‌تواند پیامدهای متعددی از جمله سرقت کوکی‌ها و نشست کاربری (Session Hijacking)، اجرای اقدامات ناخواسته در پنل مدیریت در صورت مشاهده صفحه توسط مدیر، افشای اطلاعات حساس کاربران و پیاده‌سازی حملات فیشینگ داخلی یا هدایت کاربران به وب‌سایت‌های مخرب را به همراه داشته باشد.

با توجه به اینکه پلاگین SureForms قابلیت ایجاد و مدیریت فرم‌های پرداخت را نیز فراهم می‌کند، در سناریوهای خاص این ضعف می‌تواند ریسک افشای اطلاعات مالی یا داده‌های حساس مرتبط با پرداخت را افزایش دهد. دامنه اثر این آسیب‌پذیری زمانی تشدید می‌شود که فرم‌ها به‌صورت عمومی و بدون نیاز به ورود به سیستم در دسترس باشند و خروجی داده‌های تزریق شده مستقیماً در صفحات وب یا رابط مدیریتی نمایش داده شود.

از منظر اثرگذاری امنیتی، این آسیب‌پذیری می‌تواند محرمانگی اطلاعات را از طریق افشای داده‌های حساس و یکپارچگی سیستم را با امکان اجرای کد و تغییر عملکرد رابط کاربری تحت تاثیر قرار دهد. این ضعف در نسخه 2.2.1 و نسخه‌های جدیدتر پلاگین SureForms به‌طور کامل پچ شده است؛ در این نسخه، طبق تغییرات اعمال‌شده در changeset 3423684، اعتبارسنجی ورودی‌ها تقویت شده و خروجی‌سازی امن داده‌ها به‌درستی پیاده‌سازی شده است.

CVSS

Score Severity Version Vector String
7.2 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

لیست محصولات آسیب پذیر

Versions Product
affected through 2.2.0 SureForms – Contact Form, Payment Form & Other Custom Form Builder

لیست محصولات بروز شده

Versions Product
Update to version 2.2.1, or a newer patched version SureForms – Contact Form, Payment Form & Other Custom Form Builder

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که SureForms plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
1,290 site:.ir “SureForms plugin” SureForms plugin

نتیجه گیری

این آسیب‌پذیری با شدت بالا در پلاگین SureForms وردپرس، امکان XSS ذخیره شده بدون احراز هویت را فراهم می‌کند و می‌تواند منجر به سرقت نشست کاربران، افشای اطلاعات حساس یا اجرای اسکریپت‌های مخرب در مرورگر بازدیدکنندگان و مدیران سایت شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک، ضروری است:

  • به‌روزرسانی فوری: پلاگین SureForms را در اسرع وقت به نسخه 2.1 یا بالاتر به روزرسانی کنید. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین راهکار برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • پاک‌سازی داده‌های ذخیره‌شده: تمام ورودی‌های قبلی فرم‌ها در پایگاه داده را بررسی و اسکریپت‌های احتمالی تزریق‌شده را حذف کنید. برای این کار می‌توانید از کوئری‌های SQL یا ابزارهای امنیتی مانند Wordfence استفاده کنید. پیش از پاک‌سازی، حتماً از پایگاه داده نسخه پشتیبان تهیه کنید تا در صورت نیاز امکان بازگرداندن داده‌ها وجود داشته باشد.
  • فعال‌سازی فیلترهای امنیتی: از پلاگین های امنیتی وردپرس مانند Wordfence، Sucuri یا iThemes Security استفاده کنید که قابلیت تشخیص و مسدودسازی حملات XSS را دارند.
  • محدودسازی فرم‌ها: در صورت امکان، دسترسی به فرم‌های عمومی را محدود به کاربران ثبت‌شده کنید و یا از CAPTCHA (مانند reCAPTCHA) برای جلوگیری از ارسال خودکار فرم‌ها استفاده نمایید.
  • نظارت بر لاگ‌ها: لاگ‌های وب‌سرور و وردپرس را برای ورودی‌های مشکوک حاوی تگ‌های HTML/JS مانیتور کنید و هشدارهای لازم را تنظیم نمایید.
  • استفاده از فایروال اپلیکیشن وب: فایروال اپلیکیشن وب (WAF) مانند Cloudflare یا ModSecurity را فعال کنید تا پیلودهای XSS پیش از رسیدن به برنامه مسدود شوند.
  • آموزش و بهترین شیوه‌ها: توسعه‌دهندگان و مدیران سایت را نسبت به اهمیت پاک‌سازی ورودی‌ها و خنثی سازی مناسب خروجی‌ها آموزش دهید و استانداردهای کد نویسی امن را رعایت کنید.
  • تست دوره‌ای: سایت را با ابزارهایی مانند OWASP ZAP، Burp Suite یا اسکنرهای آنلاین XSS تست کنید تا آسیب‌پذیری‌های مشابه شناسایی شوند.
  • اسکن و ارزیابی منظم: پس از به‌روزرسانی، سایت را با ابزارهای اسکن آسیب‌پذیری وردپرس (مانند WPScan یا Wordfence) بررسی کنید تا اطمینان حاصل شود پچ اعمال شده و هیچ فایل مخربی باقی نمانده است.

اجرای فوری به‌روزرسانی و اقدامات مکمل، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل می‌رساند و امنیت فرم‌های سایت وردپرسی را به‌طور قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Reconnaissance (TA0043)

مهاجم ابتدا سایت‌های وردپرس آسیب‌پذیر با پلاگین SureForms نسخه 2.2.0 یا قدیمی‌تر را شناسایی می‌کند؛ با اسکن عمومی وب‌سایت‌ها از طریق ابزارهایی مانند Shodan یا Google Dorks برای یافتن فرم‌های عمومی SureForms بدون نیاز به احراز هویت، دامنه‌های هدف را تعیین می‌نماید و وجود فیلدهای ورودی فرم را برای تزریق پیلود XSS بررسی می‌کند.

Resource Development (TA0042)

در این مرحله، مهاجم پیلودهای XSS مخرب را توسعه می‌دهد؛ با ساخت اسکریپت‌های جاوااسکریپت که در فیلدهای فرم عمومی SureForms تزریق‌پذیر هستند، ابزارهای لازم برای بهره‌برداری را آماده می‌کند، مشروط بر اینکه فرم‌ها عمومی و بدون اعتبارسنجی ورودی باشند.

Initial Access (TA0001)

مهاجم از طریق ارسال فرم عمومی بدون احراز هویت، پیلود XSS را در فیلدهای فرم تزریق می‌کند؛ داده مخرب به دلیل عدم پاک‌سازی ورودی در پایگاه داده ذخیره می‌شود و صفحه فرم آلوده ایجاد می‌گردد، که این گام مستقیماً از ضعف Stored XSS ناشی شده و دسترسی اولیه را بدون نیاز به لاگین فراهم می‌آورد.

Execution (TA0002)

پس از ذخیره پیلود، هر کاربری که صفحه فرم آلوده را مشاهده کند، اسکریپت در مرورگر او اجرا می‌شود؛ مهاجم منتظر بازدید کاربران یا مدیران می‌ماند تا کد جاوااسکریپت تزریق‌شده بدون خنثی‌سازی خروجی فعال گردد، مشروط بر نمایش مستقیم داده‌های فرم در صفحات عمومی یا پنل مدیریت.

Credential Access (TA0006)

اسکریپت اجرا‌شده کوکی‌ها، توکن‌های جلسه و اطلاعات حساس کاربران را سرقت می‌کند؛ با ارسال آن‌ها به سرور مهاجم از طریق XMLHttpRequest یا تغییر location، در صورتی که مدیر سایت صفحه آلوده را در پنل وردپرس ببیند، دسترسی کامل به حساب ادمین به دست می‌آید.

Collection (TA0009)

داده‌های جمع‌آوری‌شده از کوکی‌ها و ذخیره‌سازی محلی مرورگر کاربران استخراج می‌شود؛ اسکریپت تزریق‌شده اطلاعات حساس مانند داده‌های فرم‌های پرداخت را از DOM صفحه جمع‌آوری و به مهاجم ارسال می‌کند، به ویژه در فرم‌های پرداخت SureForms که اطلاعات مالی را نمایش می‌دهند.

Impact (TA0040)

پیامد نهایی شامل افشای اطلاعات حساس کاربران (مانند کوکی‌ها، داده‌های پرداخت و اطلاعات شخصی)، سرقت جلسات مدیریتی، اجرای حملات فیشینگ داخلی، تغییر رابط کاربری سایت و هدایت ترافیک به سایت‌های مخرب می‌گردد؛

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-14855
  2. https://www.cvedetails.com/cve/CVE-2025-14855/
  3. https://www.wordfence.com/threat-intel/vulnerabilities/id/5e493f01-95db-48ba-8daf-d7ff69df29bf?source=cve
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-14855
  5. https://vuldb.com/?id.337706
  6. https://plugins.trac.wordpress.org/browser/sureforms/tags/2.2.0/assets/build/entries.js
  7. https://plugins.trac.wordpress.org/changeset/3423684/sureforms
  8. https://nvd.nist.gov/vuln/detail/CVE-2025-14855
  9. https://cwe.mitre.org/data/definitions/79.html

همچنین ممکن است دوست داشته باشید

CVE-2026-2441

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.