- شناسه CVE-2025-26545 :CVE
- CWE-352 :CWE
- no :Advisory
- منتشر شده: فوریه 13, 2025
- به روز شده: فوریه 13, 2025
- امتیاز: 7.1
- نوع حمله: Unknown
- اثر گذاری: Cross-Site Request Forgery (CSRF)
- حوزه: سیستم مدیریت محتوا
- برند: Sophos
- محصول: Meeting Management
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در افزونه shisuh Related Posts Line-up-Exactly by Milliard تا نسخه 0.0.22 برای وردپرس پیدا شده است. این آسیبپذیری موجب حملات جعل درخواست بینسایتی (CSRF) میشود. این آسیبپذیری با نام CVE-2025-26545 شناخته شده است. حمله میتواند از راه دور آغاز شود.
توضیحات
CWE این مشکل را تحت عنوان CWE-352 طبقهبندی کرده است. این آسیبپذیری به این معنا است که اپلیکیشن وب نمیتواند به درستی تأیید کند که آیا درخواست معتبر و صحیح به طور عمدی توسط کاربر ارسال شده است یا خیر. این مسئله میتواند بر روی یکپارچگی تاثیر بگذارد.
اکسپلویت این آسیبپذیری آسان است و حمله میتواند از راه دور انجام شود. برای اکسپلویت نیاز به هیچ نوع احراز هویت نیست و تنها کاربر باید تعامل خاصی داشته باشد.
CVSS
| Score | Severity | Version | Vector String |
| 7.1 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 0.0.22 | Related Posts Line-up-Exactly by Milliard |
نتیجه گیری
در حال حاضر هیچ راهکاری برای مقابله با این مشکل ارائه نشده است. توصیه میشود که از یک محصول جایگزین بهجای این افزونه استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-26545
- https://www.cvedetails.com/cve/CVE-2025-26545/
- https://patchstack.com/database/wordpress/plugin/related-posts-line-up-exactry-by-milliard/vulnerability/wordpress-related-posts-line-up-exactly-by-milliard-plugin-0-0-22-csrf-to-stored-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26545
- https://vuldb.com/?id.295719
- https://nvd.nist.gov/vuln/detail/CVE-2025-26545
- https://cwe.mitre.org/data/definitions/352.html
