CVE-2025-27331

چکیده

یک آسیب‌پذیری در افزونه WooCommerce Display Products by Tags تا نسخه 1.0.0 در وردپرس شناسایی شده است. این آسیب‌پذیری مربوط به یک تابع در افزونه است که به مهاجمان اجازه می‌دهد حملات XSS (Cross Site Scripting) را اجرا کنند. این آسیب‌پذیری با شناسه CVE-2025-27331 ثبت شده و امکان حمله از راه دور وجود دارد.

توضیحات

این آسیب‌پذیری از نوع Cross-Site Scripting (XSS) بوده و دارای شناسه CWE-79 است. مشکل از آنجا ناشی می‌شود که این افزونه ورودی‌های کاربران را قبل از نمایش در صفحه به درستی پاکسازی یا خنثی‌سازی نمی‌کند. در نتیجه، مهاجمان می‌توانند کدهای مخرب جاوااسکریپت را در سایت قربانی اجرا کنند که یک تهدید برای یکپارچگی داده‌ها محسوب می‌شود.

جزئیات فنی این آسیب‌پذیری هنوز منتشر نشده است، اما اکسپلویت آن آسان ارزیابی شده است. برای اجرای موفق این حمله، نیاز است که قربانی نوعی تعامل با سایت داشته باشد. این آسیب‌پذیری تحت تکنیک T1059.007 در چارچوب MITRE ATT&CK دسته‌بندی شده است.

CVSS

 لیست محصولات آسیب پذیر

 نتیجه گیری

در حال حاضر هیچ راهکار مشخصی برای رفع این مشکل ارائه نشده است. توصیه می‌شود که کاربران این افزونه را با یک جایگزین ایمن‌تر تعویض کنند تا از خطرات احتمالی جلوگیری شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27331
2. https://www.cvedetails.com/cve/CVE-2025-27331/
3. https://patchstack.com/database/wordpress/plugin/woocommerce-display-products-by-tags/vulnerability/wordpress-woocommerce-display-products-by-tags-plugin-1-0-0-cross-site-scripting-xss-vulnerability?_s_id=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27331
5. https://vuldb.com/?id.296639
6. https://nvd.nist.gov/vuln/detail/CVE-2025-27331
7. https://cwe.mitre.org/data/definitions/79.html