- شناسه CVE-2025-26916 :CVE
- CWE-98 :CWE
- yes :Advisory
- منتشر شده: مارس 10, 2025
- به روز شده: مارس 10, 2025
- امتیاز: 9
- نوع حمله: Unknown
- اثر گذاری: PHP Remote File Inclusion (RFI)
- حوزه: سیستم مدیریت محتوا
- برند: EPC
- محصول: Massive Dynamic
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در افزونه EPC Massive Dynamic تا نسخه 8.2 در وردپرس شناسایی شده است. این آسیبپذیری بر بخشی از این افزونه تأثیر میگذارد و باعث کنترل نام فایل میشود. این آسیبپذیری با کد CVE-2025-26916 ثبت شده است. حمله از راه دور امکانپذیر است.
توضیحات
این آسیبپذیری تحت عنوان CWE-98 طبقهبندی شده است. این نقص به دلیل آن رخ میدهد که یک برنامه PHP دادههای ورودی را از یک بخش بالادستی دریافت میکند اما قبل از استفاده در توابعی مانند “require” یا “include”، محدودیتهای لازم را اعمال نمیکند یا به اشتباه محدودیتها را تنظیم میکند. این موضوع میتواند بر محرمانگی، یکپارچگی و دسترسپذیری سیستم تأثیر داشته باشد.
اکسپلویت این آسیبپذیری دشوار ارزیابی شده است. حمله از راه دور امکانپذیر است. برای اکسپلویت این آسیبپذیری نیازی به احراز هویت نیست.
CVSS
| Score | Severity | Version | Vector String |
| 9 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 8.2 | Massive Dynamic |
نتیجه گیری
مشکل کنترل نادرست نام فایل در دستورات Include/Require در برنامه PHP در افزونه EPC Massive Dynamic تا نسخه 8.2 باعث ایجاد یک آسیبپذیری PHP Remote File Inclusion (RFI) شده است.
در حال حاضر هیچ اطلاعاتی درباره راهکارهای مقابله با این آسیبپذیری منتشر نشده است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-26916
- https://www.cvedetails.com/cve/CVE-2025-26916/
- https://patchstack.com/database/wordpress/theme/massive-dynamic/vulnerability/wordpress-massive-dynamic-theme-8-2-unauthenticated-local-file-inclusion-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26916
- https://vuldb.com/?id.299082
- https://nvd.nist.gov/vuln/detail/CVE-2025-26916
- https://cwe.mitre.org/data/definitions/98.html
