- شناسه CVE-2025-8143 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: آگوست 16, 2025
- به روز شده: آگوست 16, 2025
- امتیاز: 6.4
- نوع حمله: Stored Cross-Site Scripting
- اثر گذاری: Code Execution
- حوزه: سیستم مدیریت محتوا
- برند: pencidesign
- محصول: Soledad
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری از نوع XSS ذخیره شده (Stored Cross-Site Scripting) در قالب سولداد (Soledad) برای وردپرس تا نسخههای 8.6.7 در پارامتر pcsml_smartlists_h شناسایی شده است. این آسیب پذیری به دلیل عدم اعتبارسنجی کافی ورودی و فرار خروجی نامناسب، به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد اسکریپتهای مخرب را در صفحات وب تزریق کنند، به گونه ای که هر بار کاربری آن صفحه را باز کند، اسکریپت اجرا شود.
توضیحات
آسیبپذیری CVE-2025-8143 از نوع XSS ذخیره شده (مطابق با CWE-79) است که در قالب Soledad برای وردپرس رخ میدهد. این آسیب پذیری در پارامتر pcsml_smartlists_h ایجاد میشود و به مهاجمان احراز هویتشده با سطح دسترسی Contributor یا بالاتر اجازه میدهد اسکریپتهای دلخواه مانند جاوااسکریپت مخرب را در صفحات وب تزریق کنند. این اسکریپتها در پایگاه داده ذخیره شده و هنگام بارگذاری صفحات توسط کاربران یا مدیران اجرا میشوند.
این حمله از راه دور قابل اجرا است، نیاز به سطح دسترسی پایین دارد، بدون تعامل مستقیم کاربر انجام میشود و پیچیدگی پایینی دارد. پیامدهای این آسیب پذیری شامل دسترسی غیرمجاز به دادههای حساس کاربران مانند کوکیهای نشست یا اطلاعات فرم و تغییر محتوای صفحات وب مانند افزودن فرمهای جعلی یا تغییر عملکرد سایت است. تأثیر این آسیبپذیری فراتر از کاربر مهاجم است، زیرا اسکریپتهای تزریقشده میتوانند روی دیگر کاربران، از جمله مدیران، اثر بگذارند.
در سایتهای چندکاربره وردپرس، این ضعف میتواند باعث افزایش سطح دسترسی غیرمستقیم شود، بهویژه اگر مدیر سایت صفحه آلوده را مشاهده کرده و اسکریپت مخرب کوکیهای نشست او را سرقت کند. شرکت PenciDesign این آسیبپذیری را در نسخه 8.6.8 قالب Soledad پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 8.6.7 | Soledad |
لیست محصولات بروز شده
| Versions | Product |
| Update to version 8.6.8, or a newer patched version | Soledad |
نتیجه گیری
با توجه به قابلیت این آسیبپذیری در تزریق کد جاوااسکریپت ذخیرهشده (Stored XSS) و پیامدهای ناشی از آن مانند سرقت کوکیهای نشست، سرقت دادههای فرم و تغییر محتوای صفحات وب، مدیران سایتهای وردپرسی که از قالب Soledad استفاده میکنند، باید فوراً به نسخه 8.6.8 یا بالاتر ارتقا دهند تا بهرهبرداری از این آسیبپذیری غیرممکن شود. در سایتهایی که هنوز بهروزرسانی نشدهاند، ضروری است سطح دسترسی کاربران محدود شود و تنها کاربران دارای سطح دسترسی بالاتر از Contributor قادر به ویرایش محتوا باشند؛ همچنین حسابهای مشکوک یا غیرضروری باید بررسی و غیرفعال شوند و ویرایش مستقیم صفحات توسط کاربران غیرمدیر غیرفعال گردد تا از تزریق کد مخرب جلوگیری شود. به منظور نظارت و شناسایی تغییرات غیرمجاز و اجرای اسکریپتهای مخرب، استفاده از افزونههای امنیتی مانند Wordfence یا Sucuri توصیه میشود. علاوه بر این، اجرای سیاستهای امنیتی محتوا (Content Security Policy) در وبسرور میتواند منابع اجراشده در مرورگر را محدود کرده و اثرات XSS را کاهش دهد و آموزش کاربران و مدیران برای شناسایی لینکها و فرمهای مشکوک نیز به پیشگیری از اجرای کدهای مخرب توسط مرورگر کمک میکند. این اقدامات به صورت ترکیبی، ریسک اجرای XSS را کاهش داده، از سرقت دادههای حساس جلوگیری کرده و امنیت یکپارچه سایت و کاربران آن را تضمین میکنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8143
- https://www.cvedetails.com/cve/CVE-2025-8143/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e8852d39-e34a-45d3-aee8-1ccbfc0ab238?source=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8143
- https://vuldb.com/?id.320353
- https://themeforest.net/item/soledad-multiconcept-blogmagazine-wp-theme/12945398#item-description__update-changelog
- https://nvd.nist.gov/vuln/detail/CVE-2025-8143
- https://cwe.mitre.org/data/definitions/79.html
