7
- شناسه CVE-2025-46510 :CVE
- CWE-352 :CWE
- yes :Advisory
- منتشر شده: آوریل 24, 2025
- به روز شده: آوریل 24, 2025
- امتیاز: 7.1
- نوع حمله: Cross Site Request Forgery-CSRF
- اثر گذاری: Cross-Site Request Forgery (CSRF)
- حوزه: سیستم مدیریت محتوا
- برند: harrysudana
- محصول: Contact Form 7 Calendar
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
آسیب پذیری CVE-2025-46510 از نوع CSRF در محصول Contact Form 7 Calendar باعث می شود تا مهاجم بتواند کدهای مخرب را به صورت ذخیره شده (Stored XSS) در سیستم قربانی قرار دهد.
توضیحات
در محصول Contact Form 7 Calendar یک آسیب پذیری امنیتی از نوع CSRF شناسایی شده است که امکان ارسال درخواست های مخرب را فراهم می کند. در نتیجه، مهاجم قادر به تزریق کدهای مخرب و اجرای حملات Stored XSS می باشد. این آسیب پذیری تمام نسخه های این محصول تا نسخه ی 3.0.1 را تحت تاثیر قرار می دهد.
CVSS
| Score | Severity | Version | Vector String |
| 7.1 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 3.0.1 | Contact Form 7 Calendar |
نتیجه گیری
با توجه به عدم انتشار پچ امنیتی، توصیه می شود کاربران اقدامات پیشگیرانه مانند محدود کردن دسترسی ها و نظارت دقیق بر سیستم ها را انجام دهند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-46510
- https://www.cvedetails.com/cve/CVE-2025-46510/
- https://patchstack.com/database/wordpress/plugin/cf7-calendar/vulnerability/wordpress-contact-form-7-calendar-plugin-3-0-1-csrf-to-stored-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46510
- https://vuldb.com/?id.306171
- https://cwe.mitre.org/data/definitions/352.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-46510
