- شناسه CVE-2025-27347 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: فوریه 24, 2025
- به روز شده: فوریه 24, 2025
- امتیاز: 6.5
- نوع حمله: T1059.007
- اثر گذاری: Cross-Site Request Forgery (CSRF)
- حوزه: سیستم مدیریت محتوا
- برند: techmix
- محصول: Direct Checkout Button for WooCommerce
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
یک آسیبپذیری در افزونه techmix Direct Checkout Button for WooCommerce تا نسخه 1.0 در وردپرس شناسایی شده است. این نقص امنیتی منجر به اجرای کد مخرب (Cross-Site Scripting (XSS)) میشود. این آسیبپذیری با شناسه CVE-2025-27347 ثبت شده است. حمله میتواند از راه دور انجام شود.
توضیحات
این مشکل بهعنوان CWE-79 طبقهبندی شده است. این محصول ورودیهای قابلکنترل توسط کاربر را خنثی نمیکند یا بهطور نادرست خنثی میکند و این اتفاق پیش از آنکه این ورودیها در خروجی قرار بگیرند و بهعنوان یک صفحه وب به سایر کاربران نمایش داده شوند رخ میدهد. این موضوع میتواند یکپارچگی (Integrity) دادهها را تحت تأثیر قرار دهد.
اکسپلویت این آسیبپذیری آسان است و حمله میتواند از راه دور انجام شود. برای اکسپلویت موفق این آسیبپذیری، به تعامل کاربر و قربانی نیاز است. این آسیبپذیری طبق پروژه MITRE ATT&CK تحت شناسه T1059.007 طبقهبندی شده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 1.0 | Direct Checkout Button for WooCommerce |
نتیجه گیری
هیچ راهحل مشخصی برای این آسیبپذیری اعلام نشده است. پیشنهاد میشود از یک محصول جایگزین استفاده شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27347
- https://www.cvedetails.com/cve/CVE-2025-27347/
- https://patchstack.com/database/wordpress/plugin/woo-direct-checkout-button/vulnerability/wordpress-direct-checkout-button-for-woocommerce-plugin-1-0-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27347
- https://vuldb.com/?id.296682
- https://nvd.nist.gov/vuln/detail/CVE-2025-27347
- https://cwe.mitre.org/data/definitions/79.html
