- شناسه CVE-2025-55708 :CVE
- CWE-89 :CWE
- yes :Advisory
- منتشر شده: آگوست 14, 2025
- به روز شده: آگوست 14, 2025
- امتیاز: 8.5
- نوع حمله: SQL Injection
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: ExpressTech Systems
- محصول: Quiz And Survey Master
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری SQL Injection در پلاگین وردپرس Quiz And Survey Master تا نسخه 10.2.4 شناسایی شده است. این آسیب پذیری به دلیل عدم خنثیسازی مناسب المنت های خاص در دستورات SQL، به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد کوئریهای SQL مخرب را اجرا کنند که این موضوع میتواند منجر به دسترسی غیرمجاز به دادههای حساس پایگاه داده یا اختلال در عملکرد سایت شود.
توضیحات
آسیبپذیری CVE-2025-55708 از نوع تزریقSQL (SQL Injection) مطابق باCWE-89 است که در پلاگین وردپرس Quiz And Survey Master رخ میدهد. این آسیب پذیری به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد کوئریهای SQL مخرب را از طریق ورودیهای کاربر مانند فیلدهای فرمهای آزمون یا نظرسنجی مربوط به پلاگین تزریق کنند. این کوئریها میتوانند برای استخراج دادههای حساس مانند اطلاعات کاربران، پاسخهای نظرسنجی یا اعتبارنامههای پایگاه داده، تغییر محتوای پایگاه داده یا ایجاد اختلال در عملکرد سایت مانند حذف دادهها استفاده شوند.
این حمله از راه دور قابل اجرا است، نیاز به سطح دسترسی پایین دارد، بدون تعامل کاربر انجام میشود و پیچیدگی پایینی دارد. پیامدهای این آسیب پذیری شامل دسترسی غیرمجاز به دادههای حساس پایگاه داده و تأثیر اصلی بر محرمانگی و یکپارچگی دادهها است، ولی در برخی سناریوها میتواند بر دسترسپذیری نیز اثر بگذارد. دامنه اثر این آسیبپذیری فراتر از حساب کاربری مهاجم است و میتواند دادههای همه کاربران، حتی مدیران سایت را تحت تأثیر قرار دهد.
در سایتهای وردپرسی چندکاربره، این آسیبپذیری میتواند منجر به افشای گسترده دادهها شود، بهویژه اگر پایگاه داده شامل اطلاعات حساس مشتریان باشد. ExpressTech Systems این آسیب پذیری را در نسخه 10.2.5 پلاگین پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 10.2.4 | Quiz And Survey Master |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from 10.2.5 | Quiz And Survey Master |
نتیجه گیری
با توجه به شدت بالای آسیبپذیری CVE-2025-55708 و امکان سوءاستفاده از آن برای اجرای کوئریهای SQL مخرب و دسترسی غیرمجاز به دادههای حساس، مدیران سایتهای وردپرس که از پلاگین Quiz And Survey Master استفاده میکنند باید بلافاصله آن را به نسخه 10.2.5 یا بالاتر بهروزرسانی کنند تا ریسک بهرهبرداری کاهش یابد. در محیطهایی که هنوز بهروزرسانی اعمال نشده است، اقدامات کاهش ریسک شامل محدودسازی دسترسی کاربران با سطح Contributor یا بالاتر، غیرفعالسازی امکان ایجاد یا ویرایش فرمهای آزمون/نظرسنجی توسط کاربران غیرمدیر و مانیتورینگ حسابهای کاربری برای شناسایی رفتارهای غیرعادی ضروری است. علاوه بر این، استفاده از ابزارهای امنیتی وردپرس مانند Wordfence یا Sucuri برای شناسایی کوئریهای SQL غیرمجاز و تلاشهای تزریق، بهعنوان یک لایهی دفاعی مکمل توصیه میشود. از منظر زیرساخت، اعمال اصل حداقل سطح دسترسی (Least Privilege) برای حسابهای پایگاه داده، پیادهسازی فایروال برنامه وب (WAF) جهت فیلتر کردن ورودیهای مخرب و پشتیبانگیری منظم از پایگاه داده باید در نظر گرفته شود. اجرای این کنترلها بهصورت ترکیبی، احتمال موفقیت حملات تزریق SQL را به حداقل رسانده و تداوم عملکرد و امنیت دادههای سایت را تضمین میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55708
- https://www.cvedetails.com/cve/CVE-2025-55708/
- https://patchstack.com/database/wordpress/plugin/quiz-master-next/vulnerability/wordpress-quiz-and-survey-master-plugin-plugin-10-2-4-sql-injection-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55708
- https://vuldb.com/?id.320247
- https://nvd.nist.gov/vuln/detail/CVE-2025-55708
- https://cwe.mitre.org/data/definitions/89.html
