CVE-2025-8874

چکیده

آسیب‌پذیری اسکریپت‌نویسی بین سایتی ذخیره‌شده (Stored Cross-Site Scripting) در پلاگین Master   Addons برای Elementor در وردپرس، تا نسخه‌های 2.0.8.6 شناسایی شده است. این آسیب‌پذیری به کاربران احراز هویت‌شده با سطح دسترسی Contributor یا بالاتر اجازه می‌دهد تا اسکریپت‌های مخرب را از طریق ویجت‌های مختلف در صفحات سایت قرار دهند به طوری که این اسکریپت ها هنگام بازدید سایرکاربران از این صفحات به طور خودکار اجرا ‌شوند.

توضیحات

آسیب‌پذیری CVE-2025-8874 از نوع اسکریپت‌نویسی بین سایتی ذخیره‌شده (مطابق با CWE-79) است که به دلیل عدم اعتبارسنجی کافی ورودی‌ها و عدم رمزنگاری خروجی‌ها در ویجت‌های پلاگین Master Addons رخ می‌دهد. این آسیب پذیری زمانی رخ می دهد که داده‌های ورودی کاربر بدون فیلتر یا رمزنگاری مناسب در صفحات وب ذخیره شده و هنگام بارگذاری صفحه توسط کاربران دیگر اجرا می‌شوند. این مسئله می‌تواند منجر به اجرای کدهای جاوااسکریپت مخرب در مرورگر کاربران شود.

در این مورد، آسیب‌پذیری در ویجت‌های مختلف پلاگین Master Addons، به‌ویژه از طریق کامپوننت fancyBox (در فایل jquery.fancybox.min.js) رخ می‌دهد. کاربران احراز هویت‌شده با سطح دسترسی Contributor یا بالاتر می‌توانند اسکریپت‌های مخرب را در صفحات سایت تزریق کنند تا هنگام بازدید کاربران دیگر از این صفحات به طور خودکار اجرا شوند. این حمله از راه دور و با حداقل سطح دسترسی قابل انجام است، نیازی به تعامل مستقیم کاربر ندارد و به دلیل تغییر حوزه اثر می‌تواند سایر کاربران سایت را نیز تحت تأثیر قرار دهد.

پیامدهای این آسیب‌پذیری شامل  افشای اطلاعات حساس مانند کوکی‌های نشست یا داده‌های کاربر از طریق اجرای اسکریپت‌های مخرب، تغییر غیرمجاز محتوای صفحات وب یا انجام اقدامات مخرب به نام کاربران دیگر، مانند جعل درخواست (CSRF) می باشد.

برای کاربر نهایی، این آسیب‌پذیری می‌تواند منجر به سرقت اطلاعات حساس، جعل هویت کاربران یا انجام اقدامات مخرب در وب‌سایت وردپرس شود. این آسیب پذیری در نسخه 2.0.9.1 پچ شده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 نتیجه گیری

به مدیران توصیه می‌شود که افزونه Master Addons را فوراً به نسخه 2.0.9.1 یا بالاتر به‌روزرسانی کنند تا از سوءاستفاده از آسیب‌پذیری Stored XSS جلوگیری شود. همچنین، بررسی منظم لاگ‌های وب‌سرور و اپلیکیشن برای شناسایی الگوهای مشکوک تزریق کد و فعالیت‌های غیرمعمول ضروری است. سطح دسترسی کاربران با نقش Contributor باید به افراد کاملاً مطمئن محدود شود و احراز هویت چندعاملی برای حساب‌های حساس فعال گردد. پیکربندی سیاست امنیتی محتوا (Content Security Policy – CSP) با استفاده از هدرهای مناسب در وب‌سرور، به‌ویژه محدود کردن منابع اسکریپت به دامنه‌های مورد اعتماد و استفاده از nonce یا hash برای اسکریپت‌ها، می‌تواند از اجرای کدهای مخرب جلوگیری کند. علاوه بر این، بهره‌گیری از افزونه‌های امنیتی مانند Wordfence برای اسکن منظم فایل‌ها و شناسایی تزریق‌های احتمالی توصیه می‌شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-8874
2. https://www.cvedetails.com/cve/CVE-2025-8874/
3. https://www.wordfence.com/threat-intel/vulnerabilities/id/44e4fb1b-eed4-4ef9-9856-7c5095117aa7?source=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8874
5. https://vuldb.com/?id.319513
6. https://plugins.trac.wordpress.org/browser/master-addons/trunk/assets/vendor/fancybox/jquery.fancybox.min.js
7. https://plugins.trac.wordpress.org/log/master-addons/
8. https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3340128%40master-addons&new=3340128%40master-addons&sfp_email=&sfph_mail=
9. https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3338452%40master-addons&new=3338452%40master-addons&sfp_email=&sfph_mail=
10. https://cwe.mitre.org/data/definitions/79.html