CVE-2025-58843

چکیده

آسیب‌پذیری جعل درخواست بین‌سایتی (CSRF) در پلاگین وردپرس Auto Last Youtube Video تا نسخه 1.0.7 شناسایی شده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد کاربران احراز هویت‌شده با سطح دسترسی بالا، مانند مدیران، را فریب دهد تا اقدامات ناخواسته‌ای روی سایت انجام دهند، مانند تغییر تنظیمات یا ارسال محتوا. این ضعف می‌تواند امنیت سایت و مدیریت آن را تهدید کند، و در ترکیب با آسیب‌پذیری‌های دیگر ممکن است پیامدهای گسترده‌تری ایجاد کند.

توضیحات

آسیب‌پذیری CVE-2025-58843 در پلاگین وردپرس Auto Last Youtube Video تا نسخه ‌1.0.7، توسعه‌یافته توسط David Merinas، ناشی از عدم محافظت کافی در برابر جعل درخواست بین‌سایتی (CSRF) است (مطابق با CWE-352).

این آسیب‌پذیری جعل درخواست بین‌سایتی (CSRF) به مهاجم بدون نیاز به احراز هویت اجازه می‌دهد کاربران با سطح دسترسی بالا، مانند مدیران، را فریب دهد تا اقدامات ناخواسته‌ای روی سایت وردپرسی انجام دهند، مانند تغییر تنظیمات پلاگین یا ارسال داده به پایگاه داده. این حمله معمولاً از طریق کلیک بر روی لینک‌های مخرب یا بازدید از صفحات دستکاری‌شده رخ می‌دهد و نیازمند تعامل کاربر است. در صورتی که سایت به آسیب‌پذیری‌های دیگر، مانند عدم فیلترگذاری محتوای کاربر، مبتلا باشد، داده‌های مخرب ممکن است در پایگاه داده ذخیره شوند و به صورت غیرمستقیم پیامدهایی شبیه Stored XSS ایجاد کرده و امنیت سایر کاربران را تحت تأثیر قرار دهند. شدت این آسیب‌پذیری بالا ارزیابی شده، بهره‌برداری از طریق شبکه ممکن است و می‌تواند بر محرمانگی، یکپارچگی و دسترس‌پذیری سایت تأثیر محدود یا متوسط داشته باشد. از آنجا که این پلاگین بیش از یک سال است به‌روزرسانی نشده، احتمالاً توسعه آن متوقف شده و دیگر هیچ پچ رسمی دریافت نمی‌کند.

CVSS

 لیست محصولات آسیب پذیر

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که WordPress Pluginرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور پلاگین ها محصولات WordPress در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

با توجه به وجود آسیب‌پذیری CSRF در پلاگین Auto Last Youtube Video و عدم انتشار به روزرسانی رسمی، اجرای اقدامات زیر برای کاهش ریسک و حفظ امنیت سایت وردپرسی ضروری است:

• جایگزینی یا حذف پلاگین آسیب‌پذیر: بهترین راهکار، حذف این پلاگین و جایگزینی آن با یک پلاگین مشابه است که همچنان توسط توسعه‌دهنده پشتیبانی شده و به روزرسانی‌های امنیتی دریافت می‌کند.
• محدودسازی دسترسی کاربران با سطح بالای دسترسی: کاهش تعداد کاربران با دسترسی ادمین و محدود کردن عملیات حساس می‌تواند اثر سوء استفاده از CSRF را کاهش دهد.
• استفاده از توکن‌های CSRF در فرم‌ها و درخواست‌ها: اطمینان حاصل شود که هر فرم یا درخواست حساس، از توکن CSRF معتبر برای جلوگیری از دستورات ناخواسته استفاده می‌کند.
• مانیتورینگ و لاگ‌گیری فعالیت‌های مشکوک: ثبت و بررسی فعالیت‌های غیرمعمول کاربران و اقدامات مدیریتی می‌تواند حملات موفق را شناسایی و مهار کند.
• آموزش تیم توسعه و مدیریت سایت: توسعه‌دهندگان و مدیران سایت باید با تهدیدات CSRF، اهمیت اعتبارسنجی و پاکسازی ورودی‌ها و اصول ایمن‌سازی پلاگین ها آشنا باشند.

اجرای این اقدامات، حتی بدون دسترسی به به روزرسانی رسمی، ریسک سوءاستفاده از ضعف CSRF را به حداقل می‌رساند و امنیت سایت وردپرسی و کاربران آن را به طور قابل توجهی افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
T1078 – Valid Accounts
مهاجم بدون نیاز به احراز هویت مستقیم، با فریب یک کاربر احراز هویت‌شده با سطح دسترسی بالا (مانند مدیر)، می‌تواند اقدامات ناخواسته‌ای روی سایت انجام دهد.

Execution (TA0002)
T1059 – Command and Scripting Interpreter (Indirect / User-driven)
با کلیک قربانی روی لینک‌های مخرب یا بازدید از صفحات دستکاری‌شده، مهاجم می‌تواند درخواست‌هایی را به سرور ارسال کند که عملیات حساس مانند تغییر تنظیمات پلاگین را اجرا می‌کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-58843
2. https://www.cvedetails.com/cve/CVE-2025-58843/
3. https://patchstack.com/database/wordpress/plugin/auto-last-youtube-video/vulnerability/wordpress-auto-last-youtube-video-plugin-1-0-7-cross-site-request-forgery-csrf-vulnerability?_s_id=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-58843
5. https://vuldb.com/?id.322843
6. https://nvd.nist.gov/vuln/detail/CVE-2025-58843