4
- شناسه CVE-2025-26966 :CVE
- CWE-288 :CWE
- yes :Advisory
- منتشر شده: فوریه 25, 2025
- به روز شده: فوریه 25, 2025
- امتیاز: 9.8
- نوع حمله: Unknown
- اثر گذاری: Privilege Escalation
- حوزه: سیستم مدیریت محتوا
- برند: Aldo Latino
- محصول: PrivateContent
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در افزونه PrivateContent تا نسخه 8.11.5 در وردپرس شناسایی شده است. این نقص امنیتی بر بخشی از عملکرد افزونه تأثیر میگذارد و منجر به دور زدن احراز هویت میشود. این آسیبپذیری با شناسه CVE-2025-26966 ثبت شده است.
توضیحات
این آسیبپذیری که در دسته CWE-288 طبقهبندی شده است، نشان میدهد که افزونه نیاز به احراز هویت دارد، اما یک مسیر جایگزین وجود دارد که بدون احراز هویت قابل دسترسی است. این مشکل میتواند محرمانگی، یکپارچگی و در دسترس بودن سیستم را تحت تأثیر قرار دهد.
اکسپلویت این آسیبپذیری آسان است. حمله از راه دور و بدون نیاز به هیچگونه احراز هویت انجام میشود.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 8.11.5 | PrivateContent |
نتیجه گیری
در حال حاضر هیچ راهکار مشخصی برای برطرف کردن این آسیبپذیری ارائه نشده است. بدلیل نبود بروزرسانی برای رفع این مشکل بهتر است از یک افزونه جایگزین استفاده کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-26966
- https://www.cvedetails.com/cve/CVE-2025-26966/
- https://patchstack.com/database/wordpress/plugin/private-content/vulnerability/wordpress-privatecontent-plugin-8-11-5-unauthenticated-account-takeover-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26966
- https://vuldb.com/?id.296766
- https://nvd.nist.gov/vuln/detail/CVE-2025-26966
- https://cwe.mitre.org/data/definitions/288.html
