CVE-2025-22632

چکیده

یک آسیب‌پذیری در افزونه WooCommerce Pricing Plugin نسخه‌های تا 1.0.9 برای وردپرس شناسایی شده است. این آسیب‌پذیری بر بخشی از عملکرد ناشناخته تأثیر می‌گذارد و منجر به Cross-site Scripting (XSS) می‌شود. این آسیب‌پذیری با شناسه CVE-2025-22632 ثبت شده است. حمله می‌تواند از راه دور انجام شود.

توضیحات

طبق CWE-79، این آسیب‌پذیری زمانی رخ می‌دهد که محصول ورودی‌های قابل کنترل توسط کاربر را به درستی خنثی(neutralize) نمی‌کند یا به اشتباه خنثی می‌کند. این اتفاق قبل از اینکه این ورودی‌ها در خروجی‌هایی قرار گیرند که به عنوان صفحات وب به دیگر کاربران ارائه شوند رخ میدهد. این آسیب‌پذیری بر یکپارچگی (Integrity) تأثیر می‌گذارد.

آسیب‌پذیری خنثی‌سازی نادرست ورودی در هنگام تولید صفحات وب (‘Cross-site Scripting’) در افزونه WooCommerce Pricing – Product Pricing منجر به Stored XSS می‌شود. این آسیب‌پذیری بر نسخه‌های WooCommerce Pricing – Product Pricing از n/a تا 1.0.9 تأثیر می‌گذارد.

اکسپلویت این آسیب پذیری آسان است. حمله می‌تواند از راه دور انجام شود و برای اکسپلویت نیازی به احراز هویت نیست. برای موفقیت در اکسپلویت، تعامل کاربر و قربانی ضروری است.

MITRE ATT&CK این حمله را با تکنیک T1059.007 شناخته است.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

برای جلوگیری از نفوذ از نسخه بروز شده 1.1.0 استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-22632
2. https://www.cvedetails.com/cve/CVE-2025-22632/
3. https://patchstack.com/database/wordpress/plugin/woo-pricing-table/vulnerability/wordpress-woocommerce-pricing-product-pricing-plugin-1-0-9-cross-site-scripting-xss-vulnerability?_s_id=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-22632
5. https://vuldb.com/?id.296616
6. https://nvd.nist.gov/vuln/detail/CVE-2025-22632
7. https://cwe.mitre.org/data/definitions/79.html