CVE-2025-8622

چکیده

آسیب‌پذیری XSS ذخیره‌شده (Stored Cross-Site Scripting) در پلاگین Flexible Map وردپرس تا نسخه‌ 1.18.0 به دلیل عدم اعتبارسنجی کافی ورودی‌ها و پاکسازی نامناسب خروجی ها در ویژگی‌های shortcode پلاگین شناسایی شده است. این آسیب پذیری به مهاجمان احراز هویت‌شده با دسترسی سطح Contributor یا بالاتر اجازه می‌دهد اسکریپت‌های وب دلخواه را در صفحات تزریق کنند. این اسکریپت ها هنگام بازدید کاربران از صفحات آلوده به طور خودکار اجرا می شوند.

توضیحات

آسیب‌پذیری CVE-2025-8622 از نوع XSS ذخیره‌شده (مطابق باCWE-79) است که در پلاگین Flexible Map وردپرس رخ می‌دهد. این آسیب پذیری به شرایطی اشاره دارد که ورودی‌های کاربر بدون خنثی‌سازی یا پاکسازی امنیتی مناسب در محتوای صفحه وب گنجانده می‌شوند و امکان اجرای اسکریپت‌های مخرب را فراهم می‌کنند.

در این مورد، shortcode های پلاگین Flexible Map مانند [flexiblemap] به‌طور نادرست ویژگی‌های ارائه‌شده توسط کاربر را پردازش می‌کنند. این ضعف به مهاجمان احراز هویت‌شده با سطح Contributor یا بالاتر اجازه می‌دهد اسکریپت‌های جاوااسکریپت مخرب را در پایگاه داده ذخیره کرده و هنگام بارگذاری صفحات حاوی shortcode توسط کاربران یا مدیران اجرا ‌شوند.

این حمله از راه دور قابل اجرا بوده، نیازمند دسترسی سطح پایین مانند سطح Contributor است، بدون تعامل کاربر انجام می‌شود. پیامدهای این آسیب پذیری شامل دسترسی غیرمجاز به داده‌های حساس مانند کوکی‌های نشست با تأثیر کم و تغییر محتوای صفحات وب مانند افزودن محتوای جعلی دارای تأثیر کم است، اما تأثیری بر در دسترس پذیری ندارد.

توسعه‌دهندگان پلاگین این آسیب پذیری را در نسخه 1.19.0 با بهبود اعتبارسنجی ورودی ها و پاکسازی خروجی ها پچ کرده اند.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 تیجه گیری

با توجه به ریسک بالقوه این آسیب‌پذیری در تزریق اسکریپت‌های مخرب و تأثیر آن بر کاربران، مدیران سایت‌های وردپرسی که از پلاگین Flexible Map استفاده می‌کنند باید فوراً سایت خود را به نسخه 1.19.0 یا بالاتر به‌روزرسانی کنند. برای سایت‌هایی که امکان به‌روزرسانی فوری ندارند، غیرفعال کردن موقت پلاگین یا محدود کردن دسترسی کاربران با سطح Contributor یا بالاتر به ویرایش shortcodeها توصیه می‌شود.

علاوه بر این، استفاده از راهکارهای امنیتی معتبر وردپرس مانند Wordfence یا Sucuri برای شناسایی و مسدود کردن تلاش‌های تزریق اسکریپت، فعال کردن سیاست‌های امنیتی محتوا (CSP) و نظارت مداوم بر تغییرات صفحات برای شناسایی محتوای غیرمجاز، ضروری است. بررسی و نظارت بر حساب‌های کاربری جهت شناسایی فعالیت‌های مشکوک و کاهش تعداد کاربران با دسترسی ویرایش محتوا نیز می‌تواند سطح ریسک را به طور قابل توجهی کاهش دهد.

اجرای همزمان این اقدامات به مدیران سایت امکان می‌دهد امنیت وب‌سایت خود را به شکل یکپارچه حفظ کرده و از تأثیرات XSS جلوگیری کنند.

امکان استفاده در تاکتیک های Mitre Attack

• Tactic (TA0005) – Defense Evasion
  Sub-technique (T1059.007) – Command and Scripting Interpreter: JavaScript
  کدهای جاوااسکریپت مخرب در صفحات ذخیره شده و در مرورگر قربانی اجرا می‌شوند تا اقدامات مخرب را بدون جلب توجه مکانیزم‌های دفاعی انجام دهند.
• Tactic (TA0009) – Collection
  Sub-technique (T1114) – Email Collection
  مهاجم می‌تواند با تغییر محتوای وب یا درج اسکریپت‌های جعلی، داده‌های ورودی کاربر (مانند فرم‌ها یا اطلاعات حساس) را جمع‌آوری کند.
• Tactic (TA0040) – Impact
  Sub-technique (T1491.001) – Defacement
  اجرای اسکریپت‌های مخرب می‌تواند منجر به تغییر یا جعل محتوای صفحات وردپرس شود (مانند نمایش تبلیغات یا پیام‌های جعلی).

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8622
2. https://www.cvedetails.com/cve/CVE-2025-8622/
3. https://www.wordfence.com/threat-intel/vulnerabilities/id/cde79196-20aa-42f1-b35f-af347bcb6e5f?source=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8622
5. https://vuldb.com/?id.320490
6. https://wordpress.org/plugins/wp-flexible-map/#developers
7. https://plugins.trac.wordpress.org/changeset/3341890/
8. https://github.com/webaware/flexible-map/commit/1cbae2fa98e10c82d82a68e2bacfbdb7231117db
9. https://cwe.mitre.org/data/definitions/79.html