- شناسه CVE-2025-55709 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: آگوست 14, 2025
- به روز شده: آگوست 14, 2025
- امتیاز: 6.5
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: Visual Composer
- محصول: Visual Composer Website Builder
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری XSS ذخیرهشده (Cross-Site Scripting) در پلاگین وردپرس Visual Composer Website Builder نسخههای قبل از 45.15.0 شناسایی شده است. این آسیب پذیری به دلیل عدم خنثیسازی مناسب ورودیها در هنگام ایجاد صفحات وب، به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد اسکریپتهای مخرب را در صفحات وب تزریق کنند. این اسکریپت ها هنگام بازدید سایر کابران اجرا می شوند.
توضیحات
آسیبپذیری CVE-2025-55709 از نوع XSS ذخیرهشده (مطابق با CWE-79) است که در پلاگین وردپرس Visual Composer Website Builder رخ میدهد. این آسیب پذیری به شرایطی اشاره دارد که ورودی کاربر بدون اعتبارسنجی یا پاکسازی مناسب در محتوای صفحه وب درج شده و امکان اجرای اسکریپتهای مخرب را فراهم میکند. این ضعف به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد اسکریپتهای جاوااسکریپت مخرب را در صفحات ایجاد شده توسط پلاگین تزریق کنند. این اسکریپتها در پایگاه داده ذخیره شده و هنگام بارگذاری صفحات توسط کاربران یا مدیران اجرا میشوند.
این حمله از راه دور قابل اجرا است، نیاز به سطح دسترسی Contributor یا بالاتردارد، نیازمند تعامل کاربر برای بازدید از صفحه آلوده است. پیامدهای این آسیب پذیری شامل دسترسی غیرمجاز به دادههای حساس کاربران مانند کوکیهای نشست یا اطلاعات فرم، تغییر محتوای صفحات وب مانند افزودن فرمهای جعلی یا هدایت کاربران به سایتهای مخرب و تأثیر محدود بر در دسترس پذیری سایت از طریق بارگذاری اسکریپتهای مخرب است. این آسیبپذیری دامنه تأثیرخود را فراتر از کاربر مهاجم گسترش دهد، زیرا اسکریپتهای تزریقشده میتوانند روی کاربران دیگر، از جمله مدیران سایت، تأثیر بگذارند.
همچنین، در سایتهای وردپرسی با چند کاربره، ممکن است به صورت غیر مستقیم منجر به افزایش سطح دسترسی شود، بهویژه اگر مدیر سایت صفحه آلوده را مشاهده کرده و اسکریپت مخرب کوکیهای نشست او سرقت شود. پلاگین Visual Composer این آسیب پذیری را در نسخه 45.15.0 پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a before 45.15.0 | Visual Composer Website Builder |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from 45.15.0 | Visual Composer Website Builder |
نتیجه گیری
با توجه به پتانسیل این آسیبپذیری برای سرقت اطلاعات حساس و تغییر محتوای وبسایت، مدیران سایتهای وردپرسی که از پلاگین Visual Composer Website Builder استفاده میکنند باید فوراً آن را به نسخه 45.15.0 یا بالاتر بهروزرسانی کنند. در سایتهایی که هنوز بهروزرسانی نشدهاند، محدود کردن دسترسی کاربران با سطح Contributor یا بالاتر، بررسی حسابهای کاربری برای فعالیتهای مشکوک و غیرفعال کردن ویرایش صفحات توسط کاربران غیرمدیر توصیه میشود. استفاده از پلاگین های امنیتی وردپرس مانند Wordfence یا Sucuri برای نظارت بر تغییرات غیرمجاز در صفحات و شناسایی اسکریپتهای مخرب ضروری است. همچنین، فعال کردن سیاستهای امنیتی محتوا (Content Security Policy) در وب سرور و آموزش کاربران برای جلوگیری از کلیک روی لینکهای مشکوک میتواند ریسک را کاهش دهد. این اقدامات بهصورت یکپارچه امنیت سایت را حفظ کرده و از تأثیرات XSS بر کاربران و مدیران جلوگیری میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55709
- https://www.cvedetails.com/cve/CVE-2025-55709/
- https://patchstack.com/database/wordpress/plugin/visualcomposer/vulnerability/wordpress-visual-composer-website-builder-plugin-plugin-45-15-0-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55709
- https://vuldb.com/?id.320260
- https://nvd.nist.gov/vuln/detail/CVE-2025-55709
- https://cwe.mitre.org/data/definitions/79.html
