CVE-2025-28946

چکیده

آسیب‌پذیری در قالب PrintXtore برای وردپرس تا نسخه‌ 1.7.5 به دلیل کنترل نادرست نام فایل در دستورات include/require در برنامه PHP است و برای مهاجمان بدون نیاز به احراز هویت امکان درج فایل لوکال (LFI) را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-28946 ناشی از عدم اعتبارسنجی و فیلتر مناسب نام فایل ورودی در دستورات include/require در برنامه PHP است که مطابق با CWE-98 طبقه‌بندی می‌شود.

قالب PrintXtore که برای فروشگاه‌های چاپ آنلاین (Print-on-Demand) طراحی شده، معمولاً از پارامترهای دینامیک برای بارگذاری فایل‌های تمپلیت (Template Files) استفاده می‌کند و در برخی مسیرها نام فایل را مستقیماً از ورودی دریافت می‌نماید.

به دلیل عدم برسی مسیر یا فیلتر برای فایل های مجاز، مهاجم می‌تواند بدون نیاز به احراز هویت پارامترهای GET یا POST دستکاری کند و مسیر فایل‌های لوکال سرور را به‌گونه‌ای تغییر دهد که توسط include بارگذاری و محتوای آنها در خروجی نمایش داده شود که این مسئله به معنای درج فایل لوکال (LFI) است.

بهره‌برداری از این ضعف بسیار آسان و قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهایی مانند Burp Suite یا اسکریپت‌های خودکار درخواست‌های مخرب ارسال کند و فایل‌های حساس سرور را استخراج نماید. در صورت موفقیت، مهاجم ممکن است فایل‌های حساس مانند wp-config.php (حاوی اطلاعات اتصال به پایگاه‌داده) را افشا کند؛ این امر می‌تواند منجر به تزریق SQL، دسترسی مستقیم به پایگاه‌داده یا حتی کنترل کامل سایت یا سرور شود. بنابراین پیامدهای این آسیب‌پذیری می‌تواند شامل اثر کامل بر محرمانگی، یکپارچگی و در دسترس‌پذیری باشد. این ضعف امنیتی در نسخه 1.7.7 پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که PrintXtore را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا در قالب PrintXtore وردپرس، به دلیل کنترل نادرست مسیر فایل، ریسک درج فایل لوکال(LFI) و افشای اطلاعات حساس را افزایش می‌دهد و می‌تواند منجر به کنترل کامل پایگاه داده و سایت شود. با وجود انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: این قالب را به نسخه 1.7.7 یا بالاتر به‌روزرسانی کنید. این پچ در مخزن رسمی BZOTheme و وردپرس در دسترس است.
• محافظت در دستورات درج فایل (include/require): تمام بخش هایی که از include یا require استفاده می‌کنند را با فهرست سفید مسیرهای مجاز محدود کنید و ورودی‌ها را پیش از استفاده به صورتی پاک‌سازی کنید که امکان استفاده از null byte و حملات پیمایش دایرکتوری وجود نداشته باشد.
• غیرفعال‌سازی درج فایل از راه دور (RFI): در تنظیمات PHP (php.ini) مقدار allow_url_include را روی Off قرار دهید تا از امکان درج فایل از منابع راه‌دور جلوگیری شود.
• نظارت و ثبت لاگ: لاگ‌های دسترسی و وب‌سرور را برای شناسایی تلاش‌های پیمایش مسیر (directory traversal) و الگوهای مشکوک بررسی کنید؛ از ابزارها یا پلاگین های امنیتی مانند Wordfence یا Sucuri برای تشخیص و هشدارهای بلادرنگ (real‑time) استفاده کنید..
• ایزوله‌سازی فایل‌ها: فایل‌هایی مانند wp-config.php را با تنظیمات مناسب در .htaccess یا تنظیم مجوزهای فایل (مثلاً 600) محافظت کنید و دسترسی مستقیم وب به آن‌ها را مسدود نمایید؛ همچنین از فایروال اپلیکیشن وب (WAF) مانند Cloudflare یا ModSecurity برای فیلتر کردن پیلودهای مرتبط با LFI استفاده کنید.
• تست امنیتی: سایت را با ابزارهایی مانند WPScan یا Nikto اسکن کنید تا ضعف‌های LFI شناسایی شود. همچنین از روش‌های دستی مانند fuzzing پارامترهای تمپلیت برای ارزیابی امنیت بهره ببرید.
• آموزش توسعه‌دهندگان: تیم توسعه را با ریسک‌های درج فایل لوکال و درج فایل از راه‌دور (Remote RFI) آشنا کرده و بر اهمیت اعتبارسنجی مسیر فایل و استفاده از فهرست سفید مسیرهای مجاز تاکید کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری به نسخه 1.7.7، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت قالب در سایت‌های وردپرس را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم بدون احراز هویت با ارسال پارامترهای دستکاری‌شده به پارامترهای قالب که برای include/require استفاده می‌شوند، می‌تواند مسیر فایل محلی را کنترل کند و به‌سرعت اطلاعات حساس را افشا کند

Persistence (TA0003)
با افشای فایل‌های پیکربندی مهاجم می‌تواند پسوردها/توکن‌ها را استخراج و دسترسی مداوم مثلاً ایجاد backdoor از طریق ویرایش فایل‌های تمپلیت یا نوشتن گزینه‌ها در wp_options برقرار کند

Privilege Escalation (TA0004)
در صورت دسترسی به wp-config یا credentialهای دیتابیس، مهاجم می‌تواند از اختیارات کم به اختیارات بالاتر برسد

Defense Evasion (TA0005)
مهاجم می‌تواند تلاش کند آثار حمله را پس از دریافت دسترسی مناسب با پاک‌کردن یا تغییر لاگ‌ها پنهان کند یا از payloadهای فشرده/encode استفاده کند تا تشخیص را دشوار کند

Credential Access (TA0006)
افشای wp-config.php یا فایل‌های مشابه می‌تواند credentialهای دیتابیس یا کلیدهای API را آشکار سازد

Discovery (TA0007)
پس از بهره‌برداری مهاجم جستجو می‌کند تا فایل‌های پیکربندی، افزونه‌های آسیب‌پذیر و مسیرهای قابل include را بیابد

Lateral Movement (TA0008)
اگر credential یا دسترسی‌های حساس بیرون کشیده شود، مهاجم ممکن است از سرور وب به سرویس‌های دیگر (DB، بک‌اند، شبکه داخلی منتقل شود

Collection (TA0009)
مهاجم فایل‌های حساس wp-config، credentialها، لاگ‌ها، بک‌آپ‌ها را جمع‌آوری کرده و برای استخراج بعدی نگه می‌دارد

Exfiltration (TA0010)
داده‌های جمع‌آوری‌شده از طریق پاسخ‌های HTTP (LFI)، کانال‌های مخفی در پارامترها یا از طریق حساب‌های دسترسی شده خارج می‌شوند

Impact (TA0040)
اثرات واقعی شامل افشای کامل اطلاعات حساس سایت، نشت credentialهای دیتابیس و در مواردی اجرای کد و تسلط بر سایت/سرور است که می‌تواند منجر به از کارافتادن سرویس یا تخریب داده‌ها شود

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-28946
2. https://www.cvedetails.com/cve/CVE-2025-28946/
3. https://patchstack.com/database/wordpress/theme/bw-printxtore/vulnerability/wordpress-printxtore-1-7-5-local-file-inclusion-vulnerability?_s_id=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-28946
5. https://vuldb.com/?id.314098
6. https://nvd.nist.gov/vuln/detail/CVE-2025-28946
7. https://cwe.mitre.org/data/definitions/98.html