- شناسه CVE-2025-26558 :CVE
- CWE-79 :CWE
- no :Advisory
- منتشر شده: فوریه 13, 2025
- به روز شده: فوریه 13, 2025
- امتیاز: 6.5
- نوع حمله: T1059.007
- اثر گذاری: Cross-Site Scripting(XSS)
- حوزه: سیستم مدیریت محتوا
- برند: mkkmail
- محصول: Aparat Responsive
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در پلاگین Aparat Responsive از mkkmail برای وردپرس تا نسخه 1.3 شناسایی شده است. این آسیبپذیری مربوط به یک عملکرد ناشناخته در پلاگین بوده و منجر به آسیبپذیری Cross-Site Scripting (XSS) میشود. حمله میتواند از راه دور انجام شود.
توضیحات
این مشکل به عنوان CWE-79 طبقهبندی شده است. محصول ورودیهای قابل کنترل توسط کاربر را قبل از قرار گرفتن در خروجی که به عنوان صفحه وب به کاربران دیگر ارائه میشود، به درستی خنثی نمیکند یا به اشتباه خنثی میکند. این مشکل میتواند یکپارچگی (Integrity) اطلاعات را تحت تأثیر قرار دهد.
حمله از راه دور امکانپذیر است. اکسپلویت این آسیبپذیری نسبتاً آسان است. اکسپلویت موفق نیازمند تعامل کاربر و قربانی است.
این آسیبپذیری طبق MITRE ATT&CK در دسته T1059.007 قرار میگیرد.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 1.3 | Aparat Responsive |
نتیجه گیری
تا کنون هیچ راهکار امنیتی مشخصی برای رفع این مشکل ارائه نشده است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-26558
- https://www.cvedetails.com/cve/CVE-2025-26558/
- https://patchstack.com/database/wordpress/plugin/aparat-responsive/vulnerability/wordpress-aparat-responsive-plugin-1-3-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26558
- https://vuldb.com/?id.295716
- https://nvd.nist.gov/vuln/detail/CVE-2025-26558
- https://cwe.mitre.org/data/definitions/79.html
