CVE-2025-9561

چکیده

آسیب پذیری در پلاگین AP Background برای وردپرس نسخه‌های 3.8.1 و 3.8.2 به دلیل عدم بررسی دسترسی (Missing Authorization) و اعتبارسنجی ناکافی فایل در تابع advParallaxBackAdminSaveSlider رخ می دهد. این ضعف به هر کاربر احراز هویت شده با سطح دسترسی Subscriber یا بالاتر اجازه می‌دهد فایل دلخواه را روی سرور آپلود کند. مهاجم در صورت بارگذاری یک اسکریپت مخرب می‌تواند به‌سادگی به اجرای کد از راه دور (RCE) و کنترل کامل سرور دست یابد.

توضیحات

آسیب‌پذیری CVE-2025-9561 در پلاگین AP Background وردپرس از نوع بارگذاری فایل دلخواه بدون محدودیت (Unrestricted File Upload) مطابق با CWE-434 است. این ضعف در نسخه‌های 3.8.1 تا 3.8.2 وجود دارد و ناشی از عدم بررسی سطح دسترسی و اعتبارسنجی ناکافی فایل‌ها در تابع advParallaxBackAdminSaveSlider است.

مهاجم با سطح دسترسی Subscriber یا بالاتر می‌توانند فایل‌های دلخواه خود را روی سرور سایت آپلود کنند. در صورت بارگذاری یک اسکریپت مخرب (مانند PHP)، امکان اجرای کد از راه دور (RCE) فراهم شده و مهاجم قادر به دستیابی به کنترل کامل سایت و سرور خواهد بود. این مسئله می‌تواند منجر به افشای داده‌ها، تخریب محتوا، ایجاد بکدور و در نهایت نفوذ کامل به سایت شود. از آنجا که بهره‌برداری از این آسیب‌پذیری نیاز به داشتن یک حساب کاربری عادی دارد و فرآیند ارسال درخواست آپلود بسیار ساده است، قابلیت خودکارسازی حمله نیز وجود دارد؛ مهاجم می‌تواند با اسکریپت‌هایی ساده لیست حساب‌ها را آزمایش کرده و سپس بارگذاری فایل مخرب را به صورت خودکار انجام دهد.

با توجه به اینکه این پلاگین از سپتامبر 2025 به دلیل مشکلات امنیتی غیرفعال و از مخزن وردپرس حذف شده است، بنابراین برای آن پچ امنیتی منتشر نخواهد شد.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که WordPress Plugin را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع آپلود فایل دلخواه در پلاگین AP Background است که به کاربران احراز هویت‌شده با نقش Subscriber امکان آپلود فایل مخرب و در نهایت اجرای کد از راه دور (RCE) را می‌دهد. با توجه به حذف پلاگین از مخزن وردپرس و عدم انتشار پچ امنیتی، اجرای اقدامات زیر به‌صورت فوری ضروری است:

• حذف کامل پلاگین و جایگزینی: فوراً پلاگین AP Background را از همه سایت‌ها حذف کرده و از پلاگین های امن استفاده کنید.
• بازبینی حساب‌های کاربری: نقش کاربران با سطح Subscriber یا بالاتر را بررسی کنید و حساب‌های غیرضروری یا مشکوک را حذف یا محدود نمایید.
• محدودیت صحیح در نقش‌های کاربری: نقش‌های پیش‌فرض وردپرس را بازنگری کرده و از اعطای نقش‌های غیرضروری خودداری کنید.
• استفاده از WAF: قوانین فایروال اپلیکیشن وب (WAF) یا پلاگین های امنیتی (مانند Wordfence) را فعال کنید تا درخواست‌های مشکوک شامل فایل‌های اجرایی را مسدود کنند.
• نظارت بر مسیرهای آپلود: دایرکتوری های uploads/ و wp-content/ را برای وجود فایل‌های PHP یا فایل‌هایی با پسوند غیرمنتظره بررسی و مانیتور کنید.
• تقویت امنیت سرور: اجرای PHP در مسیرهای آپلود را غیرفعال کنید و دسترسی‌های فایل‌سیستمی وب‌سرور را محدود نگه دارید.

اجرای این اقدامات از سوءاستفاده مهاجمان جلوگیری کرده و ریسک نفوذ، دستکاری داده‌ها و اجرای کد مخرب را به حداقل می‌رساند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم برای ورود اولیه نیاز به یک حساب احراز هویت‌شده در سطح Subscriber یا بالاتر دارد. این حساب می‌تواند از طریق ثبت‌نام عمومی، سوءاستفاده از حساب‌های رهاشده یا درز Credential به‌دست آید. همین سطح دسترسی پایین نقطه پرتاب حمله را ایجاد می‌کند و مسیر ارسال درخواست آپلود به تابع آسیب‌پذیر را باز می‌گذارد.

Execution (TA0002)

پس از آپلود موفق فایل مخرب مثلاً PHP Shell، مهاجم با اجرای مستقیم فایل از مسیر ذخیره‌سازی، کد دلخواه را روی سرور اجرا می‌کند. این مرحله RCE کامل است و کنترل فرآیندهای PHP و اکوسیستم وردپرس را به مهاجم می‌دهد.

Privilege Escalation (TA0004)

مهاجم با اجرای کد مخرب می‌تواند مستقیم سطح دسترسی وردپرس خود را ارتقا دهد، نقش Administrator تعیین کند یا به wp-config و DB متصل شود. این مرحله امکان تثبیت موقعیت و دستکاری Permission ها را فراهم می‌کند.

Credential Access (TA0006)

با دسترسی RCE، مهاجم می‌تواند فایل‌های کانفیگ مثل wp-config.php را بخواند، به کلیدهای احراز هویت و رمزهای دیتابیس دسترسی بگیرد یا Session های کاربران را استخراج کند. این منجر به دسترسی گسترده به اطلاعات هویتی و Secrets عملیاتی می‌شود.

Discovery (TA0007)

اسکریپت آپلودشده قادر است ساختار فایل‌سیستم، مسیرهای حساس، پلاگین‌ها، نسخه PHP، سرویس‌های در حال اجرا و کانفیگ امنیتی سرور را Enumerate کند تا مسیرهای حمله بعدی را بهینه کند.

Lateral Movement (TA0008)

با داشتن RCE و Credential های DB، مهاجم می‌تواند از طریق دسترسی به زیرساخت میزبان Shared Hosting، Docker یا سرویس‌های هم‌مکان به سرویس‌های مجاور حرکت جانبی انجام دهد و دامنه حمله را گسترش دهد.

Collection (TA0009)

مهاجم می‌تواند داده‌های کاربران، محتوای سایت، نسخه‌های پشتیبان، Sessionهای فعال، جدول‌های دیتابیس و لاگ‌ها را جمع‌آوری کند. این داده‌ها برای Exfiltration یا سوءاستفاده‌های ثانویه استفاده می‌شود.

Exfiltration (TA0010)

از طریق فایل شل یا اسکریپت‌های سفارشی، داده‌های جمع‌آوری‌شده به سرویس‌های خارجی ارسال می‌شود. انتقال می‌تواند از طریق HTTP، DNS tunnel یا API های عمومی انجام شود.

Defense Evasion (TA0005)

مهاجم پس از تثبیت دسترسی، فایل شل خود را با نام‌های مشابه فایل‌های وردپرس مخفی می‌کند، لاگ‌ها را می‌زداید و اجرای PHP را در مسیرهای جدید یا فولدرهای غیرمشهود جای‌گذاری می‌کند تا از شناسایی توسط WAF یا اسکنرهای امنیتی فرار کند.

Impact (TA0040)

تأثیر نهایی شامل RCE، تغییر محتوای سایت، تزریق Backdoor، سرقت اطلاعات، تخریب فایل‌ها، تزریق بدافزار و حتی تصرف کامل سرور است. این سناریو به‌طور مستقیم اعتبار سایت و یکپارچگی زیرساخت را هدف قرار می‌دهد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9561
2. https://www.cvedetails.com/cve/CVE-2025-9561/
3. https://www.wordfence.com/threat-intel/vulnerabilities/id/e4045a2b-2bbc-4335-b6d2-af7a046f1f92?source=cve
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9561
5. https://vuldb.com/?id.326832
6. https://wordpress.org/plugins/ap-background/
7. https://plugins.trac.wordpress.org/browser/ap-background/tags/3.8.2/includes/functions.admin.php
8. https://nvd.nist.gov/vuln/detail/CVE-2025-9561
9. https://cwe.mitre.org/data/definitions/434.html