- شناسه CVE-2025-27016 :CVE
- CWE-79 :CWE
- no :Advisory
- منتشر شده: فوریه 18, 2025
- به روز شده: فوریه 18, 2025
- امتیاز: 6.5
- نوع حمله: T1059.007
- اثر گذاری: Cross-Site Scripting(XSS)
- حوزه: سیستم مدیریت محتوا
- برند: awsm.in
- محصول: Drivr Lite
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری با طبقهبندی در پلاگین Drivr Lite از awsm.in برای وردپرس تا نسخه 1.0.1 شناسایی شده است. این آسیبپذیری بر یک تابع ناشناخته تأثیر میگذارد و منجر به حمله Cross-site Scripting (XSS) ذخیره شده میشود. این آسیبپذیری به عنوان CVE-2025-27016 شناخته شده است و امکان اجرای حمله از راه دور وجود دارد.
توضیحات
این مشکل به طور خاص به CWE-79 (عدم خنثیسازی مناسب ورودیها) مربوط میشود. پلاگین ورودیهای قابل کنترل توسط کاربر را قبل از قرار دادن در خروجی (که به عنوان صفحه وب به کاربران دیگر ارائه میشود) به درستی خنثی نمیکند یا به اشتباه خنثی میکند. این آسیبپذیری موجب کاهش یکپارچگی میشود.
به نظر میرسد که اکسپلویت این آسیبپذیری ساده باشد و حمله از راه دور قابل اجرا است. این حمله نیازمند تعامل کاربر است. تکنیک حمله این آسیبپذیری طبق MITRE ATT&CK با شناسه T1059.007 بیان شده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 1.0.1 | Drivr Lite – Google Drive Plugin |
نتیجه گیری
هیچ اطلاعاتی در مورد اقدامات پیشگیرانه شناختهشده برای مقابله با این آسیبپذیری وجود ندارد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27016
- https://www.cvedetails.com/cve/CVE-2025-27016/
- https://patchstack.com/database/wordpress/plugin/drivr-google-drive-file-picker/vulnerability/wordpress-drivr-lite-google-drive-plugin-plugin-1-0-1-stored-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27016
- https://vuldb.com/?id.296207
- https://nvd.nist.gov/vuln/detail/CVE-2025-27016
- https://cwe.mitre.org/data/definitions/79.html
