خانه » CVE-2025-58688
هشدار‌های سایبری

CVE-2025-58688

WordPress Casengo Live Chat Support Plugin - Cross Site Request Forgery (CSRF) Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 21 بازدید
هشدار سایبری CVE-2025-58688
  • شناسه CVE-2025-58688 :CVE
  • CWE-352 :CWE
  • yes :Advisory
  • منتشر شده: سپتامبر 22, 2025
  • به روز شده: سپتامبر 22, 2025
  • امتیاز: 7.1
  • نوع حمله: Cross Site Scripting (XSS)
  • اثر گذاری: Unknown
  • حوزه: سیستم مدیریت محتوا
  • برند: Casengo
  • محصول: Casengo Live Chat Support
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری در پلاگین Casengo Live Chat Support برای وردپرس نسخه‌های 2.1.4 و پایین‌تر به دلیل جعل درخواست بین سایتی (CSRF) است که امکان تزریق XSS ذخیره‌شده را فراهم می‌کند. این ضعف به مهاجم اجازه می‌دهد بدون نیاز به احرازهویت، با فریب کاربر به انجام عملیاتی مانند کلیک روی لینک مخرب، اقدامات غیرمجازی از جمله تغییر تنظیمات چت را انجام دهد.

توضیحات

آسیب‌پذیری CVE-2025-58688 در پلاگین Casengo Live Chat Support، ناشی از جعل درخواست بین سایتی (CSRF) است که مطابق با CWE-352  طبقه‌بندی می‌شود. این ضعف در تمام نسخه‌های 2.1.4 و پایین‌تر وجود دارد و به مهاجمان اجازه می‌دهد بدون نیاز به احراز هویت، کاربران را فریب دهند تا با بازدید صفحه یا کلیک روی یک لینک مخرب، درخواست‌های POST به اندپوینت‌های حساس (مثل تنظیمات چت) ارسال کنند.

این آسیب‌پذیری از طریق شبکه با پیچیدگی پایین، بدون نیاز به احراز هویت اما با تعامل کاربر، مانند کلیک یا بازدید صفحه قابل بهره‌برداری است. مهاجم می‌تواند با تزریق CSRF، تنظیمات چت را تغییر دهد یا اسکریپت‌های مخرب را ذخیره کند.

پیامدهای این ضعف امنیتی شامل نقض محدود محرمانگی با دسترسی به داده‌های چت، یکپارچگی با تغییر تنظیمات و در دسترس‌پذیری با ایجاد اختلال در عملکرد سرویس چت است.  تاکنون توسعه‌دهندگان پلاگین پچ رسمی منتشر نکرده‌اند؛ بنابراین کاربران باید پلاگین را غیرفعال یا حذف کنند تا از ریسک حمله جلوگیری شود.

CVSS

Score Severity Version Vector String
7.1 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L

 لیست محصولات آسیب پذیر

Versions Product
affected from n/a through 2.1.4 Casengo Live Chat Support

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Casengo Live Chat Support را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Product
5 Casengo Live Chat Support

 نتیجه گیری

این آسیب‌پذیری در پلاگین Casengo Live Chat Support، به دلیل امکان جعل درخواست بین سایتی (CSRF)، تهدیدی قابل توجه برای سایت‌های وردپرسی محسوب می شود و می‌تواند زمینه اجرای حملات XSS ذخیره شده را فراهم کند. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

  • حذف یا غیرفعال‌سازی پلاگین: با توجه به عدم انتشار پچ رسمی، پلاگین Casengo Live Chat Support را فوراً غیرفعال یا حذف کنید و در صورت نیاز از یک جایگزین امن استفاده نمایید.
  • استفاده از CSRF Token: تمام فرم‌های POST را با توکن‌های CSRF محافظت کنید تا درخواست‌های جعلی مسدود شوند.
  • محدودسازی تغییرات مهم به کلمه عبور: برای انجام تغییرات مهم کاربر را ملزم به وارد کردن کلمه عبور کنید.
  • نظارت بر ترافیک: ترافیک ورودی به اندپوینت های چت را با فایروال نظارت کنید و درخواست‌های مشکوک را مسدود نمایید.
  • محدودسازی دسترسی: دسترسی به تنظیمات چت را محدود به کاربران مجاز کنید.
  • استفاده از پلاگین های امنیتی: از فایروال‌های وردپرس مانند Wordfence یا Sucuri برای جلوگیری از حملات CSRF استفاده کنید.
  • بررسی لاگ‌ها: لاگ‌های سرور و پلاگین را برای شناسایی درخواست‌های POST مشکوک بررسی کنید.
  • آموزش کاربران: مدیران سایت را در مورد ریسک CSRF و اهمیت غیرفعال سازی پلاگین های آسیب‌پذیر آگاه کنید.

اجرای این اقدامات، ریسک اجرای کد مخرب و نقض امنیت را به حداقل می‌رساند و امنیت سایت‌های وردپرسی را به شکل قابل توجهی تقویت می‌کند. این آسیب‌پذیری همچنین بر اهمیت استفاده از توکن‌های CSRF و اعتبارسنجی دقیق درخواست‌ها در پلاگین‌های چت تأکید دارد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
ورود اولیه از طریق فریب کاربر و جعل درخواست بین‌سایتی (CSRF) رخ می‌دهد. مهاجم با ارسال لینک مخرب یا صفحه آلوده، کاربر را وادار می‌کند تا درخواست‌های POST به اندپوینت‌های حساس پلاگین ارسال کند. این مرحله نیازمند تعامل کاربر است اما نیازی به احراز هویت ندارد.

Privilege Escalation (TA0004)
سطح امتیاز اجرای کد برابر با کاربر هدف است؛ با این حال، اگر کاربر هدف دسترسی مدیریتی داشته باشد، مهاجم می‌تواند کنترل بخشی از تنظیمات سایت را به‌دست آورد و تغییرات گسترده‌تری اعمال کند.

Defense Evasion (TA0005)
تزریق CSRF می‌تواند به شکل نامحسوس انجام شود؛ نام فرم‌ها و پارامترها مشروع به نظر می‌رسند و فعالیت مخرب در لاگ‌ها یا فایروال‌های ساده قابل تشخیص نیست.

Impact (TA0040)
پیامدها شامل تغییر غیرمجاز تنظیمات پلاگین و اختلال در عملکرد پلاگین است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-58688
  2. https://www.cvedetails.com/cve/CVE-2025-58688/
  3. https://patchstack.com/database/wordpress/plugin/the-casengo-chat-widget/vulnerability/wordpress-casengo-live-chat-support-plugin-2-1-4-cross-site-request-forgery-csrf-vulnerability?_s_id=cve
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58688
  5. https://vuldb.com/?id.325557
  6. https://cwe.mitre.org/data/definitions/352.html

همچنین ممکن است دوست داشته باشید

CVE-2025-10231

CVE-2025-41251

CVE-2025-41250

CVE-2025-43400

CVE-2025-10501

CVE-2025-7493

CVE-2025-55476

CVE-2025-10779

CVE-2025-10953

CVE-2025-10964

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.

send
سوالی دارید؟
می تونید از من بپرسید 👋 ×