- شناسه CVE-2025-59592 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 22, 2025
- به روز شده: سپتامبر 22, 2025
- امتیاز: 6.5
- نوع حمله: Cross Site Scripting (XSS)
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: Fernando Acosta
- محصول: Make Column Clickable Elementor
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در پلاگین Make Column Clickable Elementor برای وردپرس نسخههای 1.6.0 و پایینتر، به دلیل عدم خنثیسازی مناسب ورودیها در هنگام ایجاد صفحات وب است که امکان تزریق XSS ذخیرهشده (Stored XSS) را فراهم میکند. این ضعف امنیتی به مهاجمان احراز هویتشده با سطح دسترسی contributor اجازه میدهد اسکریپتهای مخرب را در صفحات سایت تزریق کنند. این اسکریپت ها با بازدید کاربران از صفحات اجرا میشوند.
توضیحات
آسیبپذیری CVE-2025-59592 در پلاگین Make Column Clickable Elementor وجود دارد که برای افزودن قابلیت کلیک به ستونهای Elementor (یک پلاگین محبوب وردپرش برای طراحی صفحات) در وردپرس استفاده میشود. این نقص امنیتی ناشی از عدم خنثیسازی مناسب ورودیهای مرتبط با تنظیمات ستونهای قابل کلیک است که مطابق با CWE-79 طبقهبندی میشود.
این ضعف در تمام نسخههای 1.6.0 و پایینتر وجود دارد و به مهاجمان احراز هویتشده با سطح دسترسی contributor اجازه میدهد با تزریق اسکریپتهای مخرب در تنظیمات ستونهای قابل کلیک، محتوای مخرب را در صفحات ذخیره کنند.
این آسیبپذیری از طریق شبکه با پیچیدگی پایین، نیاز به احراز هویت سطح contributor و تعامل کاربر قابل بهرهبرداری است. اسکریپتهای ذخیرهشده در صفحات نمایش داده شده توسط Elementor اجرا میشوند و میتوانند در مرورگر کاربران دیگر فعال شوند.
پیامدهای آن شامل نقض محدود محرمانگی با سرقت دادههای نشست، یکپارچگی با تغییر محتوای صفحه و در دسترسپذیری با ایجاد اختلال در عملکرد سایت است. در سناریوهای پیشرفته، این آسیب پذیری میتواند منجر به تصاحب نشست، فیشینگ یا تغییر مسیرهای مخرب شود. توسعهدهندگان پلاگین (Fernando Acosta) این آسیب پذیری را در نسخه 1.6.1 با بهبود پاکسازی (sanitization) و فرار (escaping) ورودیها پچ کردهاند.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from n/a through 1.6.0 | Make Column Clickable Elementor |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from 1.6.1 | Make Column Clickable Elementor |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که پلاگینElementor و Make Column Clickable Elementor را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 1,490 | Elementor Plugin |
| 4 | Make Column Clickable Elementor |
نتیجه گیری
این آسیبپذیری در پلاگین Make Column Clickable Elementor، به دلیل امکان تزریق XSS ذخیرهشده توسط کاربران با دسترسی contributor، تهدیدی قابل توجه برای سایتهای وردپرسی است که از Elementor استفاده میکنند. برای کاهش ریسک و جلوگیری از بهرهبرداری، اقدامات زیر توصیه میشود:
- بهروزرسانی فوری: پلاگین Make Column Clickable Elementor را به نسخه 1.6.1 یا بالاتر بهروزرسانی کنید تا اصلاحات مربوط پاکسازی و فرار ورودی ها اعمال شود.
- اعتبارسنجی ورودیها: تمامی ورودیهای کاربران را پیش از نمایش در صفحات با پاکسازی و فرار (escaping) مناسب محافظت کنید تا از اجرای اسکریپتهای مخرب جلوگیری شود.
- محدودسازی دسترسی contributor: دسترسی contributor را محدود به کاربران قابل اعتماد کنید و از احراز هویت چندعاملی (MFA) بهره ببرید.
- استفاده از سیاست های امنیتی محتوا (CSP): CSPرا در سرور فعال کنید تا اجرای اسکریپتهای inline (inline scripts) مسدود شود.
- نظارت بر صفحات: صفحات ایجادشده توسط Elementor را برای محتوای مشکوک، مانند اسکریپتهای جاوااسکریپت غیرمنتظره، بررسی کنید.
- استفاده از پلاگین های امنیتی: از فایروالهای وردپرس مانند Wordfence یا Sucuri برای مسدود کردن حملات XSS استفاده کنید.
- آموزش کاربران: مدیران سایت را در مورد ریسک XSS و اهمیت بهروزرسانی پلاگینها آگاه کنید.
اجرای این اقدامات، ریسک تزریق اسکریپتهای مخرب را به حداقل رسانده و امنیت سایتهای وردپرسی که از Elementor استفاده میکنند را به شکل قابل توجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه از طریق دسترسی احراز هویتشده با سطح contributor به پلاگین Make Column Clickable Elementor انجام میشود. مهاجم با استفاده از این دسترسی میتواند محتوای مخرب خود را در ستونهای قابل کلیک تزریق کند.
Execution (TA0002)
تزریق Stored XSS باعث اجرای اسکریپتهای مخرب در مرورگر کاربران دیگر میشود. این اسکریپتها میتوانند دادههای نشست کاربران، اطلاعات فرمها یا هدایت به صفحات مخرب را انجام دهند.
Persistence (TA0003)
اسکریپتهای مخرب به صورت ذخیرهشده در تنظیمات ستونها باقی میمانند و با هر بار بارگذاری صفحه توسط کاربران اجرا میشوند، (حتی پس از پایان نشست اولیه).
Privilege Escalation (TA0004)
مهاجم با دسترسی contributor میتواند محدودیتهای سطح دسترسی خود را با سرقت نشست یا بهرهبرداری از آسیبپذیریهای دیگر افزایش دهد و اقدامات بیشتری روی سایت انجام دهد.
Defense Evasion (TA0005)
تزریق XSS ممکن است بهصورت مخفیانه رخ دهد و فعالیت مهاجم در لاگها یا سیستمهای امنیتی شناسایی نشود. استفاده از CSP و فایروالهای وردپرس میتواند مانع اجرای اسکریپتها شود.
Credential Access (TA0006)
مهاجم میتواند دادههای نشست کاربران، کوکیها یا اطلاعات حساس فرمها را از طریق اجرای اسکریپتها استخراج کند و به حسابهای کاربران دسترسی پیدا کند.
Lateral Movement (TA0008)
پس از موفقیت، مهاجم میتواند از اطلاعات بهدستآمده برای حرکت به بخشهای دیگر سایت یا حملات گستردهتر به سایر کاربران استفاده کند.
Impact (TA0040)
پیامدهای این آسیبپذیری شامل نقض محرمانگی با دسترسی به دادههای نشست، اختلال در یکپارچگی با تغییر محتوای صفحه، کاهش دسترسپذیری سایت و امکان فیشینگ یا تغییر مسیرهای مخرب است که مهاجم میتواند کنترل بخشی از تجربه کاربران سایت را به دست گیرد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-59592
- https://www.cvedetails.com/cve/CVE-2025-59592/
- https://patchstack.com/database/wordpress/plugin/make-column-clickable-elementor/vulnerability/wordpress-make-column-clickable-elementor-plugin-1-6-0-cross-site-scripting-xss-vulnerability?_s_id=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-59592
- https://vuldb.com/?id.325345
- https://nvd.nist.gov/vuln/detail/CVE-2025-59592
- https://cwe.mitre.org/data/definitions/79.html
