- شناسه CVE-2025-8359 :CVE
- CWE-288 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 6, 2025
- به روز شده: سپتامبر 6, 2025
- امتیاز: 9.8
- نوع حمله: Authentication Bypass
- اثر گذاری: Privilege Escalation
- حوزه: سیستم مدیریت محتوا
- برند: scriptsbundle
- محصول: AdForest
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری بحرانی در قالب وردپرس AdForest تا نسخه 6.0.9 شناسایی شده است که به دلیل عدم اعتبارسنجی صحیح هویت کاربر، امکان دور زدن مکانیزم احراز هویت را فراهم میکند. این ضعف امنیتی به مهاجمان اجازه میدهد بدون نیاز به وارد کردن رمز عبور، مستقیماً وارد حساب های کاربری دیگر از جمله حساب های مدیران شوند.
توضیحات
آسیبپذیری CVE-2025-8359 در قالب وردپرس AdForest که توسط شرکت scriptsbundle توسعه یافته و عمدتاً برای وبسایت آگهیهای طبقهبندیشده استفاده میشود، ناشی از ضعف جدی در مکانیزم احراز هویت (مطابق با CWE-288) است. این ضعف در تمامی نسخههای تا 6.0.9 وجود داشته و به دلیل عدم اعتبارسنجی صحیح هویت کاربران پیش از ورود، به مهاجمان اجازه میدهد بدون نیاز به رمز عبور وارد حسابهای کاربری حتی حسابهای مدیران (Administrators) شوند.
بهرهبرداری موفق از این آسیبپذیری به مهاجم امکان میدهد کنترل کامل وبسایت را به دست آورده، محتوای آن را تغییر دهد، کدهای مخرب تزریق کند یا دادههای حساس کاربران شامل اطلاعات شخصی و مالی را سرقت نماید.
تأثیرات این آسیبپذیری شامل نقض کامل محرمانگی، یکپارچگی و در دسترسپذیری وبسایت است که میتواند منجر به خسارات مالی، نقض حریم خصوصی کاربران و حتی سوءاستفادههای زنجیرهای مانند حملات فیشینگ شود.
توسعهدهندگان AdForest این آسیبپذیری را در نسخه 6.0.10 پچ کردهاند. پچ امنیتی جدید با اعتبارسنجی صحیح هویت کاربران، مسیرهای دور زدن فرآیند احراز هویت را مسدود کرده و از ورود غیرمجاز جلوگیری میکند.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 6.0.9 | AdForest |
لیست محصولات بروز شده
| Versions | Product |
| Update to version 6.0.10, or a newer patched version | AdForest |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که AdForest WordPress را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 1,140 | AdForest /WordPress |
نتیجه گیری
با توجه به شدت بحرانی این آسیبپذیری در قالب وردپرس AdForest و امکان دسترسی مهاجمان به حسابهای مدیران بدون نیاز به رمز عبور، این ضعف تهدیدی جدی برای امنیت وب سایت ها محسوب می شود. برای کاهش ریسک و جلوگیری از سوءاستفاده مهاجمان، اقدامات زیر بهطور جدی توصیه میشود:
- بهروزرسانی فوری به نسخه امن: به روزرسانی قالب AdForest به نسخه 6.0.10 یا بالاتر که این آسیبپذیری در آن پچ شده است.
- محدود کردن دسترسی مدیریتی: فعالسازی مکانیزمهای محدودسازی دسترسی به بخش مدیریت وردپرس (wp-admin) از طریق IP ثابت، VPN یا فایروال اپلیکیشن وب (WAF).
- استفاده از احراز هویت چندمرحلهای (MFA): فعال سازی MFA برای حسابهای مدیران و کاربران حساس بهمنظور جلوگیری از تصرف حساب در صورت بروز آسیب پذیری های مشابه در آینده.
- مانیتورینگ و ثبت لاگ ها: مانیتورینگ مداوم لاگهای ورود و فعالیتهای مشکوک در وردپرس برای شناسایی تلاشهای ورود غیرمجاز.
- پشتیبانگیری منظم: تهیه نسخه پشتیبان از وبسایت و پایگاه داده بهصورت دورهای برای امکان بازیابی سریع در صورت نفوذ یا تخریب دادهها.
اجرای همزمان این اقدامات میتواند ریسک بهرهبرداری را به حداقل رسانده و امنیت وبسایتهای مبتنی بر AdForest را تا حد زیادی تضمین کند.
امکان استفاده در تاکتیک های Mitre Attack
- Initial Access (TA0001)
T1078 – Valid Accounts
مهاجم با دور زدن مکانیزم احراز هویت، بدون داشتن رمز عبور وارد حسابهای معتبر (حتی مدیران) میشود.
T1190 – Exploit Public-Facing Application
بهرهبرداری از ضعف در منطق ورود (Authentication Bypass) روی سایت عمومی، برای دسترسی اولیه به سیستم. - Execution (TA0002)
T1059 – Command and Scripting Interpreter
پس از ورود موفق، مهاجم میتواند اسکریپتهای مخرب یا کدهای PHP/JavaScript روی سایت اجرا کند. - Persistence (TA0003)
T1505 – Server Software Component
مهاجم میتواند تغییراتی روی قالب یا پلاگینها اعمال کند تا حتی بعد از راهاندازی مجدد، دسترسی ادامه یابد. - Privilege Escalation (TA0004)
T1068 – Exploitation for Privilege Escalation
ورود به حساب مدیر به خودی خود منجر به دسترسی کامل به سایت میشود، بنابراین مرحله اضافی برای ارتقاء دسترسی نیاز نیست. - Defense Evasion (TA0005)
T1070 – Indicator Removal on Host
مهاجم میتواند لاگهای ورود یا تغییرات ایجاد شده را پاک کند تا فعالیت غیرمجاز شناسایی نشود. - Credential Access (TA0006)
T1552 – Unsecured Credentials
دسترسی به حسابهای دیگر کاربران و استخراج اطلاعات لاگین ذخیره شده در دیتابیس امکانپذیر است. - Discovery (TA0007)T1082 – System Information Discovery
شناسایی نسخه وردپرس، قالبها، پلاگینها و ساختار سایت برای آمادهسازی حملات بعدی.
T1046 – Network Service Scanning
ممکن است مهاجم شبکه داخلی یا سرویسهای وابسته به سایت را بررسی کند. - Collection (TA0009)
T1005 – Data from Local System
جمعآوری اطلاعات حساس کاربران، شامل جزئیات شخصی و مالی. - Exfiltration (TA0010)
T1041 – Exfiltration Over C2 Channel
ارسال دادههای جمعآوریشده به سرور مهاجم از طریق HTTP یا سایر کانالها. - Impact (TA0040)
T1499 – Endpoint Denial of Service
امکان غیرفعال کردن سایت یا ایجاد اختلال در دسترسپذیری آن.
T1565 – Data Manipulation
تغییر محتوای سایت یا تزریق کدهای مخرب.
T1489 – Service Stop
امکان توقف یا حذف سرویسهای حیاتی وردپرس و پلاگینها.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8359
- https://www.cvedetails.com/cve/CVE-2025-8359/
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/adforest/adforest-609-authentication-bypass-to-admin
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8359
- https://vuldb.com/?id.322856
- https://nvd.nist.gov/vuln/detail/CVE-2025-8359
- https://cwe.mitre.org/data/definitions/288.html
