خانه » CVE-2025-28961
هشدار‌های سایبری

CVE-2025-28961

WordPress URL Shortener - PHP Object Injection Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 8 بازدید
هشدار سایبری CVE-2025-28961
  • شناسه CVE-2025-28961 :CVE
  • CWE-502 :CWE
  • yes :Advisory
  • منتشر شده: جولای 16, 2025
  • به روز شده: جولای 16, 2025
  • امتیاز: 9.8
  • نوع حمله: Input injection
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: سیستم مدیریت محتوا
  • برند: Md Yeasin Ul Haider
  • محصول: URL Shortener
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری بحرانی در پلاگین URL Shortener برای وردپرس تا نسخه‌ 3.0.7، به دلیل سریال زدایی داده‌های غیرقابل اعتماد است و برای مهاجمان بدون نیاز به احراز هویت امکان تزریق آبجکت PHP (PHP Object Injection) را فراهم می‌کند.

توضیحات

آسیب‌پذیری CVE-2025-28961 در پلاگین URL Shortener ناشی از سریال زدایی داده های غیرقابل اعتماد است که مطابق با CWE-502 طبقه‌بندی می‌شود. این پلاگین برای کوتاه‌سازی لینک‌ها (URL Shortening) از ذخیره‌سازی داده‌های سریال سازی شده در پایگاه داده یا کوکی‌ها استفاده می‌کند و در برخی مسیرها از توابع ناامن مانند unserialize() بدون اعتبارسنجی یا فیلتر کردن ورودی‌ها بهره می‌گیرد.

در این شرایط، مهاجم بدون نیاز به احراز هویت می‌تواند پیلودهای سریال سازی شده مخرب را از طریق پارامترهای GET، POST یا کوکی‌ها به اندپوینت‌های پلاگین ارسال کند و آبجکت دلخواه را در حافظه بارگذاری نماید.

بهره‌برداری از این ضعف به‌راحتی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهایی مانند PHPGGC (PHP Generic Gadget Chains) یا اسکریپت‌های خودکار، پیلودهای سریال سازی شده را تولید و ارسال کند.

در صورتی که در محیطِ هدف زنجیره‌ای از گَجت‌ها و روش‌ها (POP chain) وجود داشته باشد، این حمله می‌تواند منجر به اجرای دستورات شل، حذف یا دستکاری فایل‌ها، تزریق SQL یا انکار سرویس (DoS) شود. مهاجم حتی می‌تواند از کلاس‌های موجود وردپرس یا سایر پلاگین‌ها (مثلاً استفاده از کلاس‌هایی مانند WP_Query یا کلاس‌های دیگر به‌عنوان گَجت) برای ساختن چنین زنجیره‌هایی استفاده نماید. پیامدهای آسیب‌پذیری شامل تأثیر کامل بر محرمانگی، یکپارچگی و در دسترس‌پذیری است، زیرا در سناریو های خاص مهاجم می‌تواند کنترل کامل سرور را به دست آورد. تاکنون پچ رسمی توسط توسعه‌دهنده منتشر نشده و آخرین نسخه آسیب‌پذیر 3.0.7 است.

CVSS

Score Severity Version Vector String
9.8 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from n/a through 3.0.7 URL Shortener

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که URL Shortener Plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
911 site:.ir “URL Shortener” “Plugin” URL Shortener Plugin

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در پلاگین URL Shortener وردپرس، به دلیل سریال زدایی ناامن، ریسک تزریق آبجکت PHP و اجرای کد دلخواه را به‌طور قابل‌توجهی افزایش می‌دهد؛ در صورت وجود زنجیره‌ی گجت مناسب (POP chain) مهاجم ممکن است کنترل کامل سرور را به‌دست آورد. با توجه به عدم انتشار پچ رسمی و احتمال بهره‌برداری گسترده، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی و جایگزینی: تا زمان انتشار پچ رسمی، پلاگین را کاملاً غیرفعال کنید و در صورت نیاز به قابلیت کوتاه‌کننده لینک، از جایگزین‌های معتبر و امن استفاده نمایید.
  • استفاده از پچ مجازی (vPatch): Patchstack در تاریخ 11 جولای 2025 یک پچ مجازی برای این آسیب‌پذیری ارائه کرده که از طریق پلاگین Patchstack Premium قابل فعال سازی است.
  • حذف یا محدودسازی استفاده از unserialize(): تمام فراخوانی‌های unserialize() در کد پلاگین را با JSON یا جایگزین‌های امن (مانند json_decode) جایگزین کنید و از لیست سفید کلاس‌های مجاز استفاده نمایید.
  • فیلتر و اعتبار سنجی ورودی‌ها: در فایل php قالب وردپرس، هوک‌هایی (Hooks) برای فیلتر کردن داده‌های سریال سازی شده با is_serialized() و محدودسازی کلاس‌ها اضافه کنید.
  • نظارت و ثبت لاگ: از پلاگین های امنیتی مانند Wordfence یا Sucuri برای تشخیص پیلودهای مخرب در لاگ‌های PHP استفاده کنید و هشدارهای real-time برای توابع unserialize تنظیم نمایید.
  • ایزوله‌سازی سایت: اجرای PHP را در حالت safe_mode یا با disable_functions (مانند unserialize) در ini محدود کنید و از فایروال اپلیکیشن وب مانند Cloudflare برای فیلتر پیلودهای مشکوک بهره ببرید.
  • تست امنیتی: سایت را با ابزارهایی مانند PHPGGC یا ImmuniWeb اسکن کنید تا POP Chainهای احتمالی شناسایی شود. همچنین از روش‌های دستی مانند fuzzing ورودی‌های سریال سازی شده برای ارزیابی امنیت بهره ببرید.
  • آموزش توسعه‌دهندگان: تیم‌های توسعه را درباره‌ی ریسک سریال زدایی داده های غیر قابل اعتماد و ضرورت اجتناب از unserialize() در ورودی‌های کاربر آموزش دهید.

اجرای این اقدامات، به‌ویژه غیرفعال‌سازی فوری پلاگین و اعمال vPatch، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت کلی سایت‌های وردپرس را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم با ارسال درخواست‌های crafted به اندپوینت‌های عمومی AJAX/REST پلاگین که هیچ‌گونه بررسی capability یا nonce ندارند، به‌صورت unauthenticated یا low-privileged سریع دسترسی اولیه کسب می‌کند.

Execution (TA0002)
فراخوانی توابع مدیریتی آسیب‌پذیر می‌تواند عملیات خوانش/نوشتن روی دیتابیس یا فراخوانی فانکشن‌های حساس را فعال کند؛ اگر اندپوینت قابلیت نوشتن دارد، مهاجم می‌تواند تغییرات مضر در لینک‌ها یا تنظیمات ایجاد کند که عملاً «اجرای عمل مخرب» را رقم می‌زند.

Persistence (TA0003)
مهاجم ممکن است بتواند وب‌هوک‌ها، callbackها یا مقادیر پیکربندی را در گزینه‌های پلاگین/wp_options بنویسد تا مسیر بازگشت و پایداری بعد از قطع اتصال اولیه برقرار شود

Privilege Escalation (TA0004)
اگر پلاگین به دیتابیس اصلی WordPress دسترسی نوشتنی داشته باشد، مهاجم می‌تواند با درج/ویرایش رکوردهای wp_users یا wp_usermeta نقش خود را به administrator ارتقا دهد؛ این مسیر escalation بسیار محتمل و بحرانی است.

Defense Evasion (TA0005)
مهاجم ممکن است بتواند درخواست‌ها را قالب‌بندی یا لاگ‌ها را طوری دستکاری کند که تشخیص سخت شود؛ همچنین حذف پیام‌های خطای دقیق SQL و استفاده از الگوهای مخفی‌سازی متداول رخ می‌دهد.

Credential Access (TA0006)
اندپوینت‌های آسیب‌پذیر ممکن است مقادیر تنظیمات شامل API keys یا توکن‌ها را افشاء کنند که به مهاجم امکان نفوذ به سرویس‌های ثالث یا حرکت جانبی را می‌دهد؛ باید فرض شود که هر secret ذخیره‌شده ممکن است لو رفته باشد.

Discovery (TA0007)
مهاجم می‌تواند ساختار اندپوینت‌ها، پارامترهای قابل‌ارسال و حتی schema دیتابیس را کشف کند تا بهره‌برداری‌های بعدی را خودکار کند؛ پاسخ‌های خطای کامل این کار را تسهیل می‌کنند.

Lateral Movement (TA0008)
اطلاعات استخراج‌شده مثل connection strings یا credential‌ها می‌تواند برای نفوذ به سایت‌های دیگر روی همان میزبان یا سرویس‌های متصل استفاده شود و باعث حرکت جانبی شود.

Collection (TA0009)
هدف حمله عمدتاً جمع‌آوری داده‌های مدیریتی و محتوا (لیست لینک‌ها، آمار، پیکربندی‌ها) است که به صورت  dump یا export خارج می‌شود؛ مهاجم معمولاً خروجی را برای تحلیل یا سوء‌استفاده ذخیره می‌کند.

Exfiltration (TA0010)
پس از جمع‌آوری، مهاجم می‌تواند داده‌ها را به سرور خارجی ارسال کند یا از طریق کانال‌های پنهان خارج نماید

Impact (TA0040)
پیامد نهایی شامل افشای اطلاعات مدیریتی (confidentiality loss)، دستکاری یا حذف لینک‌ها (integrity loss و اختلال محدود در دسترسی به سرویس‌ها (availability impact) است؛ در صورت escalation به جداول هسته‌ای وردپرس، احتمال تصرف کامل سایت (full takeover) وجود دارد.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-28961
  2. https://www.cvedetails.com/cve/CVE-2025-28961/
  3. https://patchstack.com/database/wordpress/plugin/exact-links/vulnerability/wordpress-url-shortener-3-0-7-php-object-injection-vulnerability?_s_id=cve
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-28961
  5. https://vuldb.com/?id.316607
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-28961
  7. https://cwe.mitre.org/data/definitions/502.html

همچنین ممکن است دوست داشته باشید

CVE-2025-28988

CVE-2025-28946

CVE-2025-28965

CVE-2025-28959

CVE-2025-28962

CVE-2025-27696

CVE-2025-27556

CVE-2025-27240

CVE-2025-27054

CVE-2025-2749

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×