- شناسه CVE-2025-28965 :CVE
- CWE-862 :CWE
- yes :Advisory
- منتشر شده: جولای 16, 2025
- به روز شده: جولای 16, 2025
- امتیاز: 8.6
- نوع حمله: Broken Access Control
- اثر گذاری: site disruption
- حوزه: سیستم مدیریت محتوا
- برند: Md Yeasin Ul Haider
- محصول: URL Shortener
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیبپذیری در پلاگین URL Shortener وردپرس تا نسخه 3.0.7 ناشی از کنترل نادرست دسترسی و عدم بررسی صحیح مجوزها (ACL) است و به کاربران بدون نیاز به احراز هویت اجازه میدهد به توابعی که باید محدود باشند دسترسی پیدا کنند.
توضیحات
آسیبپذیری CVE-2025-28965 در پلاگین URL Shortener ناشی از عدم بررسی مجوز (Missing Authorization) است که مطابق با CWE-862 طبقهبندی میشود. این ضعف به مهاجمان بدون نیاز به احراز هویت اجازه میدهد تا به توابعی دسترسی یابند که باید تحت کنترل دسترسی (Access Control List, ACL) محدود شده باشند.
این پلاگین برای کوتاهسازی لینکها در وردپرس طراحی شده و معمولاً عملیات حساس مانند مدیریت لینکها، آمار بازدید و تنظیمات را انجام میدهد. مهاجم میتواند با ارسال درخواستهای مستقیم به اندپوینتهای AJAX یا REST API پلاگین، به دلیل عدم بررسی قابلیتهای کاربری (capability checks)، عملکردهای مدیریتی را اجرا کند.
این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتهای ساده (مثلاً cURL یا Python) یا ابزارهایی مانند Postman، بهصورت از راه دور، بدون تعامل کاربر و بدون نیاز به حساب کاربری، درخواستهای مخرب ارسال کند. تنها دسترسی شبکه به سایت وردپرسی لازم است
پیامدهای آسیب پذیری محرمانگی با افشای اطلاعات مانند مشاهده لینکهای کوتاهشده، آمار بازدید و تنظیمات، یکپارچگی باتغییر دادهها مانند ویرایش، حذف یا ایجاد لینکهای جعلی و در دسترس پذیری با اختلال در دسترسی مانند حذف یا غیرفعالسازی لینکهای اصلی است. تاکنون پچ رسمی توسط توسعهدهندگان این پلاگین منتشر نشده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.6 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 3.0.7 | URL Shortener |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که URL Shortener Plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 911 | site:.ir “URL Shortener” “Plugin” | URL Shortener Plugin |
نتیجه گیری
این آسیبپذیری با شدت بالا در پلاگین URL Shortener وردپرس، به دلیل کنترل نادرست دسترسی، مهاجمان را قادر میسازد لینکها را دستکاری کرده و عملکرد سایت را مختل کنند. با توجه به عدم انتشار پچ رسمی، اجرای اقدامات زیر برای کاهش ریسک و جلوگیری از بهرهبرداری ضروری است:
- غیرفعالسازی فوری پلاگین: تا زمان انتشار پچ رسمی، پلاگین را کاملاً غیرفعال کنید و در صورت نیاز از جایگزینهای معتبر و امن استفاده نمایید.
- استفاده از پچ مجازی (vPatch): Patchstack در تاریخ 15 جولای 2025 یک پچ مجازی برای این آسیبپذیری ارائه کرده که از طریق پلاگین Patchstack Premium بهصورت خودکار اعمال میشود.
- فیلترینگ درخواستها در فایروال: با استفاده از فایروال اپلیکیشن وب (WAF) مانند Cloudflare یا ModSecurity، درخواستهای مشکوک به اندپوینتهای پلاگین را مسدود کنید.
- تقویت کد پلاگین (در صورت غیرقابل حذف بودن): در فایل اصلی پلاگین، قبل از اجرای توابع حساس، بررسی مجوز با current_user_can(‘manage_options’) یا اعتبارسنجی درخواست ها با wp_verify_nonce() اضافه کنید.
- مانیتورینگ دسترسیهای ناشناس: از پلاگینهای امنیتی مانند Wordfence یا iThemes Security برای ثبت و مسدود سازی درخواستهای غیرمجاز به AJAX/API استفاده کنید.
- ایزولهسازی داشبورد: دسترسی به /wp-admin/ را با لیست سفید (IP Whitelisting) یا VPN محدود کنید و نقشهای کاربری با دسترسی پایین (مانند Subscriber) را از اجرای AJAX منع نمایید.
- اسکن منظم امنیتی: سایت ها را با ابزارهایی مانند WPScan، Pentest-Tools یا Acunetix بهصورت دورهای اسکن کنید تا ضعفهای مشابه شناسایی شود
- بهروزرسانی سیاستهای امنیتی: تیم مدیریت سایت را درباره ریسک پلاگینهای شخص ثالث و اهمیت بررسی منظم مجوزها (capability checks) آموزش دهید.
اجرای این اقدامات، بهویژه غیرفعالسازی فوری پلاگین و اعمال vPatch Patchstack، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت مدیریت لینکها در سایتهای وردپرس را تضمین میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
مهاجم میتواند با ارسال درخواستهای unauthenticated یا crafted به اندپوینتهای AJAX/REST پلاگین که هیچ بررسی capability یا nonce ندارند، به سرعت دسترسی اولیه کسب کند
Persistence (TA0003)
با استفاده از اندپوینتهای آسیبپذیر مهاجم میتواند webhook، callback یا مقادیر پیکربندی را در جدول تنظیمات ذخیره کند تا پس از خاتمه حمله دسترسی یا مسیر برگشت حفظ شود
Privilege Escalation (TA0004)
در صورت دسترسی نوشتنی به دیتابیس و خصوصاً اگر کاربر DB دارای دسترسی به جداول وردپرس باشد. مهاجم قادر است رکوردهای wp_users/wp_usermeta را درج یا ویرایش کند و خود را به نقش administrator ارتقا دهد
Defense Evasion (TA0005)
مهاجم میتواند درخواستها را طوری قالببندی کند که شبیه ترافیک مشروع باشند یا لاگها را دستکاری کند تا فعالیتهایش پنهان بماند
Credential Access (TA0006)
در صورت افشای مقادیر تنظیمات، مهاجم میتواند کلیدهای API یا توکنها را استخراج کند که برای نفوذ به سرویسهای ثالث یا حرکت جانبی قابل استفاده است
Discovery (TA0007)
بهرهبردار میتواند ساختار اندپوینتها، پارامترها و حتی ساختار دیتابیس مرتبط با پلاگین را کشف کند تا حملات بعدی را خودکار کند
Collection (TA0009)
هدف اولیه جمعآوری اطلاعات مدیریتی و محتوایی (لیست لینکها، آمار، پیکربندیها) است که میتواند dump یا export شود
Exfiltration (TA0010)
دادههای جمعآوریشده ممکن است به سرویسهای خارجی ارسال شوند
Impact (TA0040)
پیامدها شامل دستکاری یا حذف لینکها، افشای دادههای مدیریتی، تخریب یکپارچگی محتوا و احتمال تسلط کامل مهاجم بر سایت هستند که منجر به خسارت تجاری، حقوقی و از دست رفتن اعتماد میشود
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-28965
- https://www.cvedetails.com/cve/CVE-2025-28965/
- https://patchstack.com/database/wordpress/plugin/exact-links/vulnerability/wordpress-url-shortener-3-0-7-broken-access-control-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-28965
- https://vuldb.com/?id.316573
- https://nvd.nist.gov/vuln/detail/CVE-2025-28965
- https://cwe.mitre.org/data/definitions/862.html
