- شناسه CVE-2025-8902 :CVE
- CWE-79 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 23, 2025
- به روز شده: سپتامبر 23, 2025
- امتیاز: 6.4
- نوع حمله: Stored Cross-Site Scripting
- اثر گذاری: Unknown
- حوزه: سیستم مدیریت محتوا
- برند: Marketing Fire, LLC
- محصول: Widget Options - Extended
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری در پلاگین Widget Options – Extended برای وردپرس نسخههای 5.2.1 و پایینتر، ناشی از عدم عدم پاکسازی مناسب ورودیها و عدم فرار خروجی (output escaping) در شورتکد do_sidebar است که امکان تزریق XSS ذخیرهشده (Stored XSS) را فراهم میکند. این ضعف به مهاجمان احراز هویتشده با سطح دسترسی contributor یا بالاتر اجازه میدهد اسکریپتهای مخرب را در صفحات سایت تزریق کنند. این اسکریپت ها با بازدید کاربران از صفحات اجرا میشوند.
توضیحات
آسیبپذیری CVE-2025-8902 در پلاگین Widget Options – Extended که برای مدیریت و سفارشیسازی ویجتهای وردپرس استفاده میشود، ناشی از عدم پاکسازی مناسب ورودی (input sanitization) و عدم فرار خروجی (output escaping) در ویژگیهای ارسالی توسط کاربر در شورتکد do_sidebar (یک مکانیزم وردپرس برای درج محتوای دینامیک در صفحات) است و مطابق با CWE-79 طبقهبندی میشود.
این ضعف در تمام نسخههای تا 5.2.1 وجود دارد و به مهاجمان احراز هویتشده با سطح دسترسی contributor یا بالاتر اجازه میدهد با تزریق اسکریپتهای مخرب در ویژگیهای شورتکد do_sidebar، یک XSS ذخیرهشده (Stored XSS) ایجاد کنند و محتوای مخرب را در صفحات ذخیره نمایند. این اسکریپتها هنگام بازدید کاربران از صفحات اجرا میشوند.
این آسیبپذیری از طریق شبکه، با پیچیدگی پایین، نیازمند دسترسی contributor و بدون تعامل کاربر قابل بهرهبرداری است. اسکریپتهای ذخیرهشده در صفحات که توسط شورتکد نمایش داده میشوند، میتوانند در مرورگر سایر کاربران فعال شوند.
پیامدهای آن شامل نقض محدود محرمانگی با سرقت دادههای نشست، تأثیر بر یکپارچگی با تغییر محتوای صفحه و در سناریوهای پیشرفته، امکان تصاحب نشست، فیشینگ یا تغییر مسیرهای مخرب است. توسعهدهندگان پلاگین این آسیبپذیری را در نسخه 5.2.1 با پاکسازی ورودیها و اعتبارسنجی الگوهای مخرب در منطق نمایش (Display Logic) هنگام ذخیره تنظیمات از طریق Ajax (یک پروتکل برای تبادل دادهها به صورت ناهمزمان بین مرورگر و سرور بدون بارگذاری مجدد صفحه) پچ کردهاند.
CVSS
| Score | Severity | Version | Vector String |
| 6.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected through 5.2.1 | Widget Options – Extended |
لیست محصولات بروز شده
| Versions | Product |
| Update to version 5.2.2, or a newer patched version | Widget Options – Extended |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که پلاگین extended-widget-options را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Product |
| 8 | extended-widget-options plugin |
نتیجه گیری
این آسیبپذیری در پلاگین Widget Options – Extended، به دلیل امکان تزریق XSS ذخیرهشده توسط کاربران با دسترسی contributor یا بالاتر، تهدیدی قابل توجه برای سایتهای وردپرسی ایجاد میکند. برای کاهش ریسک و جلوگیری از بهرهبرداری، اجرای فوری اقدامات زیر توصیه میشود:
- بهروزرسانی فوری: پلاگین را به نسخه 5.2.2 یا بالاتر بهروزرسانی کنید. این نسخه با پاکسازی ورودیها (input sanitization) و اعتبارسنجی (validation) کد PHP در Display Logic هنگام ذخیره تنظیمات از طریق Ajax، ضعفهای XSS و الگوهای مخرب را پچ کرده است.
- اعتبارسنجی ورودیها: تمام ورودیهای کاربر در شورتکدها، به ویژه do_sidebar، را پاکسازی و اعتبارسنجی کنید تا از تزریق کد مخرب جلوگیری شود.
- محدودسازی دسترسی contributor: دسترسی contributor یا بالاتر را فقط به کاربران قابل اعتماد اعطا کرده و از احراز هویت چندعاملی (MFA) استفاده کنید.
- استفاده از سیاست های امنیتی محتوا (CSP): CSP را در سرور فعال کنید تا اجرای اسکریپتهای inline مسدود شود.
- نظارت بر صفحات: صفحات ایجاد شده توسط شورتکد do_sidebar را برای محتوای مشکوک مانند اسکریپتهای جاوااسکریپت غیرمنتظره بررسی کنید.
- استفاده از پلاگین های امنیتی: از فایروالهای وردپرس مانند Wordfence یا Sucuri برای مسدود کردن حملات XSS استفاده کنید.
- آموزش کاربران: مدیران سایت را در مورد ریسک XSS و اهمیت بهروزرسانی پلاگینها آگاه کنید.
اجرای این اقدامات، ریسک تزریق XSS ذخیرهشده و نقض امنیت را به حداقل رسانده و امنیت سایتهای وردپرسی را در برابر آسیبپذیریهای پلاگین های ویجت تقویت میکند.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
ورود اولیه از طریق دسترسی احراز هویتشده با سطح contributor یا بالاتر به شورتکد do_sidebar پلاگین Widget Options – Extended انجام میشود. مهاجم با این دسترسی میتواند محتوای مخرب را در صفحات سایت ذخیره کند.
Execution (TA0002)
تزریق Stored XSS باعث اجرای اسکریپتهای مخرب در مرورگر کاربران دیگر میشود. این اسکریپتها میتوانند دادههای نشست، اطلاعات کاربری یا مسیرهای مخرب را دستکاری کنند.
Persistence (TA0003)
اسکریپتهای مخرب به صورت ذخیرهشده در شورتکد do_sidebar باقی میمانند و با هر بار بارگذاری صفحه توسط کاربران اجرا میشوند.
Privilege Escalation (TA0004)
مهاجم با بهرهبرداری از XSS ممکن است محدودیتهای دسترسی contributor را دور زده و با دسترسی به نشست های با مدیران دسترسی گستردهتری به سایت یا اطلاعات کاربران کسب کند.
Defense Evasion (TA0005)
تزریق XSS میتواند بدون هشدار در لاگها یا سیستمهای امنیتی رخ دهد و فعالیت مهاجم به راحتی از فایروالها یا IDS/IPS عبور کند.
Lateral Movement (TA0008)
پس از موفقیت، مهاجم میتواند از اطلاعات بهدستآمده برای حرکت به بخشهای دیگر سایت یا اجرای حملات گستردهتر به سایر کاربران استفاده کند.
Impact (TA0040)
پیامدهای این آسیبپذیری شامل نقض محدود محرمانگی با دسترسی به دادههای نشست، اختلال در یکپارچگی با تغییر محتوای صفحات، کاهش دسترسپذیری با ایجاد اختلال در عملکرد سایت و امکان فیشینگ یا اجرای اسکریپتهای مخرب است که مهاجم میتواند کنترل بخشی از تجربه کاربران سایت را به دست گیرد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8902
- https://www.cvedetails.com/cve/CVE-2025-8902/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/98f8a524-b0b8-4e11-b789-bed3bd257a10?source=cve
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8902
- https://vuldb.com/?id.325573
- https://widget-options.com/changelog/
- https://nvd.nist.gov/vuln/detail/CVE-2025-8902
- https://cwe.mitre.org/data/definitions/79.html
