خانه » CVE-2025-8342
هشدار‌های سایبری

CVE-2025-8342

WooCommerce OTP Login With Phone Number, OTP Verification- Authentication Bypass

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 170 بازدید
هشدار سایبری CVE-2025-8342
  • شناسه CVE-2025-8342 :CVE
  • CWE-862 :CWE
  • yes :Advisory
  • منتشر شده: آگوست 15, 2025
  • به روز شده: آگوست 15, 2025
  • امتیاز: 8.1
  • نوع حمله: Authorization Bypass
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم مدیریت محتوا
  • برند: glboy
  • محصول: WooCommerce OTP Login With Phone Number, OTP Verification
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری دور زدن احراز هویت (Authentication Bypass) در پلاگین WooCommerce OTP Login With Phone Number, OTP Verification تا نسخه 1.8.47 شناسایی شده است. این ضعف به‌دلیل بررسی ناکافی مقادیر خالی در تابع ‎lwp_ajax_register‎ و مدیریت نادرست خطاهای Firebase API در حالتی که کلید API پیکربندی نشده باشد، ایجاد می‌شود. سوءاستفاده از این ضعف به مهاجم بدون هیچ‌گونه احراز هویت اولیه اجازه می‌دهد مکانیزم تأیید OTP را به‌طور کامل دور بزند و مستقیماً به هر حساب کاربری دارای شماره تلفن ثبت‌شده، از جمله حساب مدیر، وارد شود. این وضعیت در عمل به مهاجم امکان دسترسی مدیریتی و تصاحب کامل سایت را می‌دهد.

توضیحات

آسیب‌پذیری CVE‑2025‑8342 در پلاگین WooCommerce OTP Login With Phone Number, OTP Verification ناشی از ضعف در کنترل دسترسی مطابق با CWE‑862 است. در تابع lwp_ajax_register، پلاگین بررسی می‌کند که آیا کلید Firebase API تنظیم شده است یا خیر؛ در صورتی که کلید API پیکربندی نشده باشد، تابع lwp_ajax_register به‌جای متوقف‌کردن فرآیند، به‌دلیل عدم بررسی مناسب مقادیر خالی و مدیریت نادرست خطای Firebase API، درخواست را ادامه می‌دهد و کاربر را به‌اشتباه احراز هویت‌شده در نظر می‌گیرد. این ضعف ابتدا امکان دور زدن کامل احراز هویت را فراهم می‌کند و در ادامه باعث افزایش سطح دسترسی تا سطح Administrator می‌شود؛ زیرا مهاجم بدون هیچ اعتبارنامه‌ای مستقیماً وارد حساب کاربری هدف می‌شود.

در نتیجه، مهاجم بدون هیچ‌گونه احراز هویت اولیه می‌تواند با ارسال یک درخواست AJAX به تابع lwp_ajax_register و بدون وارد کردن OTP، وارد هر حساب کاربری که شماره تلفن در آن ثبت شده است از جمله حساب مدیر شود. مهاجم کافی است شماره تلفن معتبر حساب هدف را در درخواست ارسال کند؛ پلاگین کاربر مربوطه را مستقیماً لاگین می‌کند و در صورتی که حساب موردنظر مدیر باشد، مهاجم سطح دسترسی مدیریتی کامل دریافت می‌کند. بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است و مهاجم می‌تواند با یک اسکریپت بسیار ساده، از راه دور و بدون نیاز به تعامل کاربر یا داشتن دسترسی قبلی، تنها با یک درخواست HTTP به اندپوینت AJAX پلاگین، کنترل کامل سایت وردپرسی را به دست آورد. تنها پیش‌نیاز، دانستن شماره تلفن ثبت‌شده در حساب هدف است؛ موضوعی که در بسیاری از فروشگاه‌های WooCommerce رایج می باشد.

این آسیب‌پذیری تأثیر بالا بر محرمانگی، یکپارچگی و دسترس‌پذیری دارد و منجر به تصاحب کامل سایت بدون نیاز به رمز عبور یا OTP می‌شود. این ضعف در نسخه 1.8.48 با افزودن بررسی صحیح کلید API و توقف فرآیند در صورت عدم پیکربندی کلید، به‌طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected through 1.8.47 WooCommerce OTP Login With Phone Number, OTP Verification

لیست محصولات بروز شده

Versions Product
Update to version 1.8.48, or a newer patched version WooCommerce OTP Login With Phone Number, OTP Verification

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که WooCommerce plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
1,780 site:.ir “WooCommerce plugin” WooCommerce plugin

نتیجه گیری

این آسیب‌پذیری با شدت بالا در پلاگین WooCommerce OTP Login With Phone Number, OTP Verification امکان دور زدن کامل احراز هویت و تصاحب سایت وردپرسی بدون نیاز به رمز عبور یا OTP را فراهم می‌کند. با توجه به انتشار پچ رسمی، برای جلوگیری از بهره‌برداری و کاهش ریسک، اقدامات زیر ضروری است:

  • به‌روزرسانی فوری: پلاگین را در اسرع وقت به نسخه 8.48 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • حذف یا غیرفعال‌سازی در صورت عدم نیاز: اگر از قابلیت ورود با شماره موبایل استفاده نمی‌کنید، پلاگین را کاملاً حذف یا غیرفعال کنید.
  • بررسی کلید Firebase API: پس از به‌روزرسانی، مطمئن شوید که کلید API به‌درستی تنظیم شده است؛ در غیر این صورت پلاگین همچنان آسیب‌پذیر خواهد بود.
  • نظارت بر لاگ‌های ورود: لاگ‌های احراز هویت وردپرس را بررسی کنید تا ورودهای مشکوک از IPهای ناشناس با نقش Administrator شناسایی شوند.
  • محدودسازی دسترسی به اندپوینت‌های AJAX: با استفاده از فایروال اپلیکیشن وب (WAF) یا پلاگین‌های امنیتی مانند Wordfence یا Solid Security، دسترسی به اندپوینت‌های AJAX پلاگین را محدود یا مانیتور کنید.
  • تغییر رمز عبور حساب‌های مدیریتی و فعال‌سازی 2FA: پس از به‌روزرسانی، رمز عبور تمام حساب‌های ادمین را تغییر دهید و احراز هویت دو مرحله‌ای (2FA) را فعال کنید.
  • اسکن منظم سایت: از ابزارهایی مانند WPScan، Wordfence یا Patchstack برای بررسی وجود نسخه‌های قدیمی یا آسیب‌پذیری‌های دیگر استفاده کنید.

اجرای سریع به‌روزرسانی، بررسی کلید API و نظارت بر لاگ‌ها، ریسک تصاحب سایت را به حداقل رسانده و امنیت فروشگاه‌های WooCommerce را به‌طور قابل توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از اندپوینت‌های AJAX پلاگین که بدون کنترل سطح دسترسی پیاده‌سازی شده‌اند، برای ارسال درخواست‌های ساختگی و دورزدن مسیر احراز هویت استفاده می‌کند. این ورودی‌ها بدون نیاز به تعامل کاربر و از راه دور قابل فراخوانی‌اند و نقطه ورودی مستقیم برای دریافت توکن یا ایجاد نشست غیرمجاز ایجاد می‌کنند.

Discovery (TA0007)

مهاجم پس از ورود غیرمجاز ساختار وردپرس، نقش‌های کاربری، پلاگین‌ها و قابلیت‌های فعال را از طریق wp-ajax و REST API شناسایی می‌کند تا دامنه اثرگذاری را گسترش دهد و سطح حمله را مشخص کند.

Privilege Escalation (TA0004)

خطای Broken Access Control باعث می‌شود مهاجم بدون داشتن نقش معتبر، خود را به نقش Administrator ارتقا دهد یا کاربر ادمین جدید بسازد. این ارتقا بدون نیاز به تعامل و تنها با یک درخواست-crafted انجام می‌شود.

Lateral Movement (TA0008)

پس از کسب نقش ادمین، مهاجم می‌تواند به سایر سرویس‌های یکپارچه مانند Firebase، وب‌هوک‌ها یا REST integrations دسترسی پیدا کند و جابه‌جایی منطقی بین سرویس‌ها انجام دهد.

Collection (TA0009)

مهاجم به داده‌های حساس شامل اطلاعات کاربران، API keys داخلی پلاگین، تنظیمات اتصال به سرویس‌ها و لاگ‌های مدیریتی دسترسی پیدا می‌کند.

Exfiltration (TA0010)

خروج داده‌ها از طریق wp-ajax، REST API یا اندپوینت‌های کانفیگ پلاگین انجام می‌شود و مهاجم می‌تواند داده‌ها را به‌صورت خام یا JSON خارج کند.

Impact (TA0040)

با اختیار کامل سطح Administrator، مهاجم قادر به تغییر تنظیمات سایت، تزریق کد، فعال/غیرفعال‌سازی پلاگین‌ها و تخریب مستقیم سرویس است. در سناریوهای شدید، کنترل کامل سایت و Defacement نیز محتمل است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-8342
  2. https://www.cvedetails.com/cve/CVE-2025-8342/
  3. https://www.wordfence.com/threat-intel/vulnerabilities/id/6e74582f-8e94-4cba-a3eb-0a823a5235ad?source=cve
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8342
  5. https://vuldb.com/?id.320154
  6. https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.47/login-with-phonenumber.php#L4373
  7. https://plugins.trac.wordpress.org/browser/login-with-phone-number/tags/1.8.47/login-with-phonenumber.php#L4358
  8. https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3338150%40login-with-phone-number&new=3338150%40login-with-phone-number&sfp_email=&sfph_mail
  9. https://nvd.nist.gov/vuln/detail/CVE-2025-8342
  10. https://cwe.mitre.org/data/definitions/862.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.