- شناسه CVE-2025-55711 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: آگوست 14, 2025
- به روز شده: آگوست 14, 2025
- امتیاز: 6.5
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: WP Table Builder
- محصول: WP Table Builder
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری XSS ذخیرهشده (Cross-Site Scripting) در پلاگین وردپرس WP Table Builder تا نسخه 2.0.12 شناسایی شده است. این ضعف امنیتی به دلیل عدم خنثی سازی صحیح ورودی ها در هنگام ایجاد صفحات وب، به مهاجمان اجازه میدهد کدهای مخرب را در صفحات وب تزریق کنند. این کدها در پایگاه داده ذخیره شده و هنگام بازدید کاربران از صفحه آلوده اجرا میشوند.
توضیحات
آسیبپذیری CVE-2025-55711 از نوع XSS ذخیرهشده (مطابق باCWE-79) است که در پلاگین وردپرس WP Table Builder رخ میدهد. این آسیب پذیری به دلیل عدم خنثیسازی صحیح ورودیها در هنگام ایجاد صفحات وب رخ میدهد و به مهاجمان اجازه میدهد اسکریپتهای مخرب، مانند کدهای جاوااسکریپت را در سایت تزریق کنند. اسکریپتهای تزریقشده هنگام بازدید کاربران از صفحات اجرا میشوند.
این حمله از راه دور قابل اجرا است، نیاز به سطح دسترسی پایین دارد، نیازمند تعامل کاربر برای بازدید از صفحه مخرب است.
پیامدهای این آسیب پذیری شامل دسترسی غیرمجاز به دادههای حساس کاربران مانند کوکیهای نشست یا اطلاعات فرم، تغییر محتوای صفحات وب مانند افزودن فرمهای جعلی یا تغییر عملکرد سایت و تأثیر محدود بر دسترس پذیری مانند بارگذاری اسکریپتهایی که عملکرد سایت را مختل میکنند.
ویژگی مهم این آسیبپذیری آن است که دامنه تأثیرگذاری آن فراتر از مهاجم است؛ زیرا اسکریپتهای تزریقشده میتوانند روی سایر کاربران، حتی مدیران سایت نیز اثر بگذارند. در وبسایتهای وردپرس چندکاربره، این موضوع میتواند منجر به افزایش سطح دسترسی غیرمستقیم شود؛ برای نمونه، اگر مدیر سایت صفحه آلوده را مشاهده کند، اسکریپت مخرب میتواند کوکیهای نشست او را سرقت کند. WP Table Builder این آسیب پذیری را در نسخه 2.0.13 پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 2.0.12 | WP Table Builder |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from 2.0.13 | WP Table Builder |
نتیجه گیری
با توجه به ماهیت آسیبپذیری XSS ذخیرهشده (Stored XSS) در پلاگین WP Table Builder و قابلیت آن در سرقت دادههای حساس کاربران مانند کوکیهای نشست، توکنهای احراز هویت و اطلاعات فرمها، همچنین امکان دستکاری محتوای صفحات وب و ایجاد فرمها یا اسکریپتهای جعلی، ضروری است که مدیران وبسایتهای وردپرسی این پلاگین را در اسرع وقت به نسخه 2.0.13 یا بالاتر ارتقاء دهند. در سایتهایی که امکان بهروزرسانی فوری ندارند، توصیه میشود سطح دسترسی کاربران بهویژه نقشهای Contributor و Author محدود شود، قابلیت ویرایش جداول توسط کاربران غیرمدیر غیرفعال گردد و فعالیتها و لاگهای کاربران بهصورت مداوم برای شناسایی رفتارهای مشکوک پایش شود. همچنین استفاده از افزونههای امنیتی مانند Wordfence یا Sucuri برای شناسایی تزریق اسکریپتها و تغییرات غیرمجاز، پیادهسازی سیاستهای امنیتی محتوا (Content Security Policy – CSP) در وبسرور برای جلوگیری از اجرای اسکریپتهای غیرمجاز، و اعمال اصل حداقل سطح دسترسی (Least Privilege) بر روی حسابهای کاربری و پایگاه داده از اهمیت بالایی برخوردار است. در کنار این اقدامات فنی، آموزش کاربران و مدیران برای اجتناب از کلیک روی لینکهای ناشناس یا باز کردن صفحات مشکوک میتواند بهعنوان لایهای تکمیلی از دفاع در عمق (Defense-in-Depth) عمل کرده و ریسک بهرهبرداری موفقیتآمیز از این آسیبپذیری را به حداقل برساند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-55711
- https://www.cvedetails.com/cve/CVE-2025-55711/
- https://patchstack.com/database/wordpress/plugin/wp-table-builder/vulnerability/wordpress-wp-table-builder-plugin-plugin-2-0-12-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-55711
- https://vuldb.com/?id.320258
- https://nvd.nist.gov/vuln/detail/CVE-2025-55711
- https://cwe.mitre.org/data/definitions/79.html
