شناسه CVE-2026-33331 :CVE
CWE-79 :CWE
yes :Advisory
منتشر شده: مارس 24, 2026
به روز شده: مارس 24, 2026
امتیاز: 8.2
نوع حمله: Stored Cross-Site Scripting

اثر گذاری: Information Disclosure and potential Session Hijacking
حوزه: برنامه نویسی
برند: middleapi
محصول: orpc
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch نشده

چکیده

یک آسیب‌پذیری از نوع XSS ذخیره‌شده (Stored XSS) در ابزار oRPC و در فرآیند تولید مستندات OpenAPI شناسایی شده است. در این ضعف امنیتی، داده‌های مربوط به مشخصات OpenAPI (Specification) هنگام تولید صفحه مستندات، از طریق تابع JSON.stringify() بدون انجام خروجی‌سازی مناسب مستقیماً در HTML قرار می‌گیرند. در صورتی که مهاجم بتواند کنترل فیلدهایی از این مشخصات مانند info.description را در اختیار بگیرد، قادر خواهد بود با تزریق داده مخرب، کد JavaScript دلخواه را در مستندات API اجرا کند. این موضوع می‌تواند منجر به افشای اطلاعات حساس و در نهایت سرقت نشست کاربر (Session Hijacking) شود.

توضیحات

آسیب‌پذیری CVE-2026-33331 در ابزار oRPC و به‌طور خاص در فرآیند تولید مستندات OpenAPI ناشی از XSS ذخیره‌شده (Stored Cross-Site Scripting) مطابق با CWE-79 است. oRPC یک فریم‌ورک توسعه API است که امکان ساخت APIهای End-to-End Type Safe و سازگار با OpenAPI Specification (استانداردی برای توصیف ساختار و عملکردهای APIهای REST) را فراهم می‌کند و در این سیستم، پلاگین OpenAPI وظیفه تولید مستندات HTML از مشخصات API را بر عهده دارد. ریشه این ضعف امنیتی در فایل packages/openapi/src/plugins/openapi-reference.ts و در تابع renderDocsHtml() قرار دارد که آبجکت مشخصات OpenAPI را دریافت کرده و آن را مستقیماً در قالب HTML قرار می‌دهد. در این پیاده‌سازی از تابع JSON.stringify() برای تبدیل آبجکت JSON به رشته استفاده شده است؛ اگرچه این تابع ساختار JSON را حفظ می‌کند، اما کاراکترهای حساس HTML مانند < و > از طریق خروجی‌سازی امن (Output Escaping) محافظت نمی‌شوند. در نتیجه، اگر مقدار یک فیلد در مشخصات OpenAPI شامل رشته‌ای مانند </script><script>…</script> باشد، مرورگر هنگام پردازش HTML بلوک اسکریپت را زودتر بسته و اسکریپت مخرب بعدی را اجرا می‌کند.

کد اثبات مفهومی (PoC) عمومی برای این آسیب‌پذیری نشان می‌دهد که مهاجم می‌تواند با تزریق پیلود مخرب در فیلدهایی از مشخصات OpenAPI مانند info.description از context مربوط به JSON خارج شود و کد JavaScript دلخواه خود را در صفحه مستندات اجرا کند. این حمله نیازمند تعامل کاربر (User Interaction) است؛ به این معنا که قربانی باید صفحه مستندات API را مشاهده کند و از آنجا که این یک آسیب‌پذیری XSS ذخیره‌شده است، پیلود مخرب در ساختار مشخصات API ذخیره می‌شود و هر کاربری که مستندات را مشاهده کند، در معرض اجرای کد قرار می‌گیرد. پیامدهای این حمله می‌تواند شامل سرقت نشست کاربر (Session Hijacking) از طریق دسترسی به کوکی‌های مرورگر، اجرای درخواست‌های API به‌جای کاربر قربانی، تغییر عملکرد رابط مدیریتی مستندات و افشای اطلاعات حساس مربوط به API باشد.

این ضعف امنیتی در نسخه 1.13.9 با اصلاح نحوه سریال‌سازی داده‌ها در HTML و جلوگیری از قرارگیری مستقیم JSON بدون خروجی‌سازی امن پچ شده است.

CVSS

Score	Severity	Version	Vector String
8.2	HIGH	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N

لیست محصولات آسیب پذیر

Versions	Product
affected at < 1.13.9	orpc

لیست محصولات بروز شده

Versions	Product
1.13.9	orpc

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که OpenAPI را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
5,400	site:.ir “OpenAPI”	OpenAPI

نتیجه گیری

این آسیب‌پذیری با شدت بالا نشان می‌دهد که حتی در فرآیند تولید مستندات OpenAPI نیز عدم انجام خروجی‌سازی صحیح داده‌ها (Output Escaping) می‌تواند منجر به حملات Cross-Site Scripting (XSS) شود. از آنجا که مستندات API اغلب توسط توسعه‌دهندگان و مدیران مشاهده می‌شود، موفقیت این حمله می‌تواند منجر به سرقت نشست، اجرای درخواست‌های API از طرف قربانی و افشای اطلاعات حساس شود.

برای کاهش ریسک این آسیب‌پذیری و جلوگیری از حملات مشابه، اجرای اقدامات زیر توصیه می‌شود:

به‌روزرسانی فوری نرم‌افزار: تمامی پروژه‌هایی که از orpc استفاده می‌کنند باید به نسخه 13.9 یا بالاتر ارتقا داده شوند. این نسخه اصلاحات لازم برای جلوگیری از تزریق اسکریپت در مستندات OpenAPI را اعمال کرده است. این اقدام اصلی‌ترین، ساده‌ترین و مؤثرترین راهکار برای رفع کامل آسیب‌پذیری است و باید در اولویت قرار گیرد.
خروجی‌سازی امن داده‌ها: هنگام قرار دادن داده‌های JSON در HTML، کاراکترهای حساس مانند <, >, & باید به‌صورت امن خروجی‌سازی شوند. استفاده از کتابخانه‌هایی مانند serialize-javascript یا devalue برای سریال‌سازی امن توصیه می‌شود.
اعتبارسنجی ورودی‌ها: داده‌هایی که در مشخصات OpenAPI وارد می‌شوند، به‌ویژه فیلدهای متنی مانند description باید پیش از ذخیره یا نمایش بررسی و پاک‌سازی شوند.
پیاده‌سازی سیاست امنیت محتوا: استفاده از سیاست امنیت محتوا (CSP) می‌تواند اجرای اسکریپت‌های تزریق‌شده را محدود کند و اثر حملات XSS را کاهش دهد.
استفاده از فایروال اپلیکیشن وب: استقرار فایروال اپلیکیشن وب (WAF) می‌تواند درخواست‌های حاوی الگوهای رایج XSS را شناسایی و مسدود کند.
بازبینی امنیتی کد: توسعه‌دهندگان باید از ابزارهای تحلیل امنیتی مانند OWASP ZAP یا Burp Suite برای شناسایی آسیب‌پذیری‌های XSS در رابط‌های وب و مستندات API استفاده کنند.
محدودسازی دسترسی به مستندات API: در صورت امکان، مستندات API نباید به‌صورت عمومی در اینترنت منتشر شوند و دسترسی به آن‌ها باید از طریق احراز هویت یا شبکه داخلی محدود شود.

اجرای ترکیبی این اقدامات، به‌ویژه به‌روزرسانی نرم‌افزار و پیاده‌سازی روش‌های امن سریال‌سازی داده‌ها، می‌تواند ریسک ناشی از این آسیب‌پذیری و سایر حملات مشابه XSS در مستندات API را به‌طور قابل توجهی کاهش دهد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
مهاجم برای دسترسی اولیه نیازی به نفوذ پیچیده ندارد. او می‌تواند با ارسال درخواست به نمونه در حال اجرای oRPC، فیلدهای OpenAPI را کنترل کرده و payload مخرب را در مستندات ذخیره کند. شرط موفقیت این مرحله، قابلیت دسترسی مهاجم به endpointهای به‌روزرسانی مشخصات OpenAPI است.

Execution (TA0002)
پس از ذخیره payload، هنگامی که یک کاربر (مدیر یا توسعه‌دهنده) مستندات API را مشاهده می‌کند، کد جاوااسکریپت مخرب در مرورگر او اجرا می‌شود. این اجرا می‌تواند شامل سرقت کوکی‌ها، تغییر محتوای صفحه یا هدایت کاربر به سایت‌های مخرب باشد.

Persistence (TA0003)
با توجه به ماهیت ذخیره‌شده XSS، payload به طور دائم در مستندات باقی می‌ماند. هر بار که کاربر به مستندات مراجعه می‌کند، payload اجرا می‌شود. این یک نوع تداوم دسترسی در سطح جلسه کاربر محسوب می‌شود.

Defense Evasion (TA0005)
مهاجم می‌تواند payload خود را به گونه‌ای رمزگذاری یا encode کند (مانند استفاده از String.fromCharCode) که از قوانین ساده WAF عبور کند. همچنین می‌تواند کد مخرب را در بخش‌های کم‌تر مورد توجه مستندات (مانند توضیحات طولانی) پنهان کند.

Credential Access (TA0006)
هدف اصلی این آسیب‌پذیری دسترسی به اطلاعات احراز هویت است. مهاجم می‌تواند با استفاده از payload XSS، کوکی نشست (session cookie) قربانی را سرقت کرده و از آن برای ورود به سیستم با هویت قربانی استفاده کند. همچنین می‌تواند با رهگیری ورودی‌های فرم، رمز عبور کاربران را استخراج نماید.

Discovery (TA0007)
مهاجم با اجرای کد جاوااسکریپت در مرورگر قربانی، می‌تواند اطلاعاتی درباره محیط قربانی (مانند نوع مرورگر، افزونه‌های نصب‌شده، آدرس IP داخلی) جمع‌آوری کرده و برای مراحل بعدی استفاده کند.

Collection (TA0008)
مهاجم می‌تواند داده‌های حساس قابل مشاهده در صفحه مستندات (مانند کلیدهای API، توکن‌ها، اطلاعات پیکربندی) را جمع‌آوری کرده و برای انتقال آماده کند.

Exfiltration (TA0010)
مهاجم داده‌های جمع‌آوری‌شده (مانند کوکی‌ها یا توکن‌ها) را با ارسال یک درخواست HTTP به سرور تحت کنترل خود (از طریق یک تصویر مخفی یا درخواست AJAX) از محیط هدف خارج می‌کند.

Impact (TA0040)
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به نقض محرمانگی (Confidentiality) و یکپارچگی (Integrity) اطلاعات شود. مهاجم می‌تواند با سرقت کوکی نشست، جلسه کاربر را ربوده و به داده‌های حساس دسترسی یابد. در موارد شدیدتر، مهاجم می‌تواند با تغییر محتوای مستندات، اطلاعات نادرست را به کاربران القا کرده یا با هدایت کاربران به سایت‌های فیشینگ، اعتماد آنها را از بین ببرد. این امر می‌تواند منجر به از دست رفتن اعتبار برند و نقض قوانین حریم خصوصی شود.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-33331

اطلاعات آسیب‌پذیری

عنوان: آسیب‌پذیری ذخیره‌شده برون‌مرزی (Stored XSS) در تولید مستندات OpenAPI فریم‌ورک oRPC

شناسه: CVE-2026-33331

وضعیت مشاوره: Advisory / Patch Available

نمره CVSS تقریبی : CVSS v3.1: 8.2 (High)

محصول: oRPC

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر (پیش از اعمال پچ امنیتی):

oRPC نسخه‌های پیش از 1.13.9
• oRPC نسخه 1.13.8 و تمامی نسخه‌های قدیمی‌تر
• کلیه برنامه‌ها و سرویس‌هایی که از oRPC برای تولید مستندات OpenAPI استفاده می‌کنند
• محیط‌های توسعه و بهره‌برداری که از oRPC با پیکربندی پیش‌فرض استفاده می‌کنند
• APIهایی که اطلاعات ورودی کاربر (مانند توضیحات یا توضیحات سرویس) را در مشخصات OpenAPI منعکس می‌کنند

محیط‌های درگیر

سرورهای API و وب سرویس‌های توسعه‌یافته با oRPC
• پورتال‌های مستندسازی API که در معرض دید کاربران قرار دارند
• محیط‌های عملیاتی (Production) که از oRPC برای تولید خودکار مستندات استفاده می‌کنند
• سرویس‌های یکپارچه‌سازی (Integration Services) که از OpenAPI برای تبادل داده استفاده می‌کنند
• برنامه‌های کاربردی وب که مستندات API آن‌ها برای کاربران نهایی قابل مشاهده است

کامپوننت‌های آسیب‌پذیر

ماژول تولید مستندات OpenAPI در oRPC
• تابع یا فرآیند تبدیل مشخصات OpenAPI به HTML
• بخش‌های قابل کنترل توسط کاربر در مشخصات OpenAPI (مانند info.description، info.title، info.termsOfService و غیره)
• فرآیند JSON.stringify که بدون escape کردن کاراکترهای خاص، خروجی را تولید می‌کند
• موتور قالب‌سازی (Templating Engine) مورد استفاده برای رندر کردن مستندات

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری به یک نقص در اعتبارسنجی ورودی و نبود escape کردن کاراکترهای خاص در فرآیند تولید مستندات OpenAPI بازمی‌گردد. در oRPC، مستندات API به صورت خودکار از روی مشخصات OpenAPI تولید می‌شوند. این فرآیند شامل خواندن فیلدهای مختلف (مانند info.description، info.title و …) و درج آن‌ها در خروجی HTML نهایی است. مشکل از آنجا ناشی می‌شود که oRPC پیش از نسخه 1.13.9، هنگام درج این فیلدها در خروجی، از متد JSON.stringify بدون escape کردن کاراکترهای خاص مانند “, <, >, & و ‘ استفاده می‌کند. این ضعف از طریق سطح حمله ورودی کاربر (User-Controlled Input Fields) در مشخصات OpenAPI قابل دسترسی است و برای بهره‌برداری موفق، نیاز به کنترل حداقل یک فیلد از مشخصات OpenAPI توسط مهاجم (مانند info.description) و تعامل کاربر قربانی با صفحه مستندات تولید شده می‌باشد. در سناریوی بهره‌برداری کلی، مهاجم با ارسال یک فیلد حاوی کد مخرب جاوااسکریپت (مانند “></script><script>alert(‘XSS’)</script>) باعث شکسته شدن ساختار JSON و اجرای کد دلخواه در مرورگر قربانی می‌گردد که نهایتاً منجر به سرقت نشست (Session Hijacking)، تغییر محتوای صفحه و انجام عملیات به نمایندگی از کاربر می‌شود.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

استفاده از متد JSON.stringify بدون escape کردن کاراکترهای خاص و درج مستقیم خروجی آن در صفحه HTML تولید شده، بدون اعمال هرگونه پالایش (Sanitization) یا validation.

نحوه سوءاستفاده مهاجم:

مهاجم یک فیلد قابل کنترل در مشخصات OpenAPI (مانند info.description) را شناسایی می‌کند
• مهاجم یک payload مخرب جاوااسکریپت را در آن فیلد وارد می‌کند
• سرور oRPC مشخصات OpenAPI را پردازش کرده و مستندات HTML را تولید می‌کند
• payload مخرب در خروجی نهایی درج می‌شود
• کاربر قربانی صفحه مستندات تولید شده را در مرورگر خود باز می‌کند
• payload در بستر اجرای مرورگر قربانی اجرا می‌شود
• مهاجم به اطلاعات حساس قربانی (مانند کوکی‌های نشست) دسترسی پیدا می‌کند

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری به عنوان یک نقطه ورود (Initial Access) برای اجرای حملات سمت کاربر (Client-Side Attacks) عمل می‌کند. مهاجم با بهره‌برداری موفق از این آسیب‌پذیری قادر به اجرای کد جاوااسکریپت دلخواه در مرورگر قربانی خواهد بود. این قابلیت می‌تواند به عنوان مرحله اولیه برای سرقت نشست کاربر (Session Hijacking)، تغییر محتوای صفحه نمایش داده شده به کاربر (Defacement)، هدایت کاربر به صفحات فیشینگ، یا انجام عملیات به نمایندگی از کاربر (مانند ارسال درخواست‌های HTTP به APIهای محافظت شده) مورد استفاده قرار گیرد. با توجه به ماهیت ذخیره‌شده (Stored) این آسیب‌پذیری، payload هر بار که کاربر صفحه آسیب‌دیده را مشاهده می‌کند، اجرا می‌شود که این امر باعث افزایش پایداری و تأثیر حمله می‌گردد. این آسیب‌پذیری می‌تواند منجر به نقض محرمانگی (Confidentiality) و یکپارچگی (Integrity) داده‌ها در سطح کاربر شود، هرچند تأثیری بر در دسترس بودن (Availability) سیستم ندارد.

پیش‌نیازهای بهره‌برداری (Prerequisites)

وجود یک فیلد قابل کنترل توسط مهاجم در مشخصات OpenAPI (مانند info.description، info.title و غیره)
• استفاده از نسخه آسیب‌پذیر oRPC (نسخه‌های پیش از 1.13.9) برای تولید مستندات
• امکان مشاهده مستندات تولید شده توسط کاربر قربانی (مهاجم نیاز به تعامل کاربر دارد)
• عدم اعمال پچ امنیتی یا اقدامات کاهش ریسک (مانند WAF یا Sanitization) در سطح برنامه
• قرار داشتن صفحه مستندات در معرض دید کاربران عادی (عدم محدودیت دسترسی)
• فعال بودن قابلیت تولید مستندات OpenAPI در oRPC

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

تمامی خروجی‌های سمت کاربر (User-Controlled Output) قبل از درج در صفحه HTML، به صورت کامل escape یا sanitize شوند
• استفاده از توابع امن برای درج داده‌ها در بستر JSON و HTML (مانند توابع escape مخصوص)
• اعمال validation سخت‌گیرانه بر روی تمامی فیلدهای ورودی که در مشخصات OpenAPI استفاده می‌شوند
• پیاده‌سازی Content Security Policy (CSP) مناسب برای محدود کردن منابع اجرای اسکریپت
• فریم‌ورک oRPC به طور پیش‌فرض، خروجی JSON را به صورت ایمن برای درج در HTML پردازش کند
• مستندات امنیتی oRPC به وضوح نسبت به خطرات XSS و روش‌های جلوگیری از آن راهنمایی ارائه دهند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به‌روزرسانی فوری oRPC به نسخه 1.13.9 یا بالاتر که این آسیب‌پذیری در آن پچ شده است
• در صورت عدم امکان به‌روزرسانی، غیرفعال کردن موقت قابلیت تولید مستندات OpenAPI
• اعمال فیلتر کردن (Sanitization) دستی بر روی فیلدهای ورودی که در مشخصات OpenAPI استفاده می‌شوند
• پیکربندی WAF برای مسدود کردن درخواست‌های حاوی payloadهای رایج XSS در فیلدهای مربوطه
• محدود کردن دسترسی به صفحه مستندات OpenAPI (با استفاده از احراز هویت یا IP filtering) تا زمان اعمال اصلاحات
• پایش لاگ‌های دسترسی برای شناسایی تلاش‌های احتمالی تزریق payload

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

بازبینی و اصلاح کلیه الگوهای کد که در آن‌ها داده کاربر به طور مستقیم در خروجی JSON قرار می‌گیرد
• پیاده‌سازی مکانیزم‌های اعتبارسنجی سخت‌گیرانه مبتنی بر فهرست مجاز (Allow-list) برای فیلدهای مشخصات OpenAPI
• فعال‌سازی و تقویت لاگ‌برداری تفصیلی از خطاها و رفتارهای غیرعادی مرتبط با تولید مستندات
• آموزش تیم‌های توسعه در خصوص خطرات XSS و روش‌های جلوگیری از آن
• اجرای تست‌های امنیتی (مانند SAST و DAST) برای شناسایی موارد مشابه در سایر بخش‌های برنامه
• استقرار سیستم‌های تشخیص نفوذ (IDS/IPS) با قوانین اختصاصی برای شناسایی الگوهای حمله XSS

اقدامات بلندمدت برای کاهش ریسک:

بازبینی و بهبود معماری امنیتی فرآیند تولید محتوای پویا (Dynamic Content Generation) با تمرکز بر جداسازی داده از کد (Separation of Data from Code)
• افزایش سطح آگاهی تیم‌های توسعه از طریق آموزش هدفمند در زمینه حملات تزریق (Injection Attacks) و پیامدهای امنیتی آن
• استفاده مستمر از ابزارهای تحلیل کد ایستا (SAST) و بازبینی امنیتی چرخه توسعه نرم‌افزار به منظور شناسایی و حذف الگوهای پرخطر پیش از استقرار
• تدوین و اجرای سیاست‌های امنیت توسعه نرم‌افزار (SSDF) با تأکید بر امنیت در لایه تولید محتوا
• پیاده‌سازی مکانیزم‌های خودکار به‌روزرسانی امنیتی برای وابستگی‌های پروژه
• ایجاد فرآیند منظم تست نفوذ (Penetration Testing) برای برنامه‌های وب و APIها

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

مشاهده کاراکترهای خاص (مانند “, <, >, ‘, ; و …) در فیلدهای ورودی که به عنوان بخشی از مشخصات OpenAPI ذخیره می‌شوند
• وجود لاگ‌های خطای مرتبط با JSON parsing یا HTML rendering در زمان تولید مستندات
• مشاهده درخواست‌های غیرعادی به اندپوینت مستندات OpenAPI با پارامترهای حاوی کد جاوااسکریپت
• گزارش کاربران از رفتارهای غیرعادی در صفحه مستندات (مانند نمایش پنجره‌های بازشونده یا تغییر ظاهر صفحه)
• افزایش ناگهانی درخواست‌های همزمان به صفحه مستندات که حاکی از تلاش برای بهره‌برداری خودکار است
• مشاهده رفرش‌های مکرر صفحه مستندات توسط یک کاربر خاص

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ‌های سطح برنامه (Application Logs) شامل لاگ‌های خطا، هشدار و دیباگ مرتبط با تولید مستندات OpenAPI
• لاگ‌های دسترسی به وب (Web Access Logs) برای ردیابی درخواست‌های حاوی payloadهای مشکوک
• راهکارهای WAF یا API Gateway مجهز به قوانین تشخیص XSS و قابلیت شناسایی پارامترهای مشکوک در درخواست‌ها
• ابزارهای مانیتورینگ امنیتی مانند SIEM برای جمع‌آوری و تحلیل مرکزی لاگ‌ها
• سیستم‌های تشخیص نفوذ شبکه (NIDS) با قوانین اختصاصی برای شناسایی حملات XSS
• ابزارهای نظارت بر عملکرد (APM) برای شناسایی نوسانات مصرف منابع در زمان تولید مستندات

واکنش به حادثه (Incident Response)

ایزوله‌کردن سرویس آسیب‌پذیر یا در معرض حمله جهت جلوگیری از ادامه نفوذ و افشای بیشتر داده
• تحلیل و بررسی فوری لاگ‌های برنامه وب و سرور برای شناسایی محدوده نفوذ و payloadهای تزریق‌شده
• ارزیابی میزان دسترسی یا افشای اطلاعات از طریق بررسی درخواست‌های ثبت‌شده و داده‌های بازگشتی
• حذف محتوای مخرب از پایگاه داده یا فایل‌های حاوی مشخصات OpenAPI
• اعمال پچ‌های امنیتی و اصلاح کدهای آسیب‌پذیر در سریع‌ترین زمان ممکن
• اطلاع‌رسانی مناسب به ذی‌نفعان (مدیریت ارشد، تیم امنیت، تیم حقوقی) و مستندسازی کامل حادثه
• بازنشانی نشست‌های کاربران (Session Invalidation) و بررسی فعالیت‌های غیرعادی در حساب‌های کاربری

جریان حمله (Attack Flow)

در نمودار زیر(شکل ۱)، جریان کلی بهره‌برداری از این آسیب‌پذیری نشان داده شده است. در این سناریو، مهاجم با کنترل یک فیلد ورودی در مشخصات OpenAPI (مانند info.description) و درج کد مخرب جاوااسکریپت، باعث می‌شود که این کد در مستندات HTML نهایی ذخیره شود. هنگامی که کاربر قربانی صفحه مستندات را مشاهده می‌کند، کد مخرب در مرورگر او اجرا شده و نشست کاربر به سرقت می‌رود.

شکل 1: نمودار جریالن حمله

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده بررسی کرده است (شکل ۲)
• یک نمونه برنامه oRPC با نسخه آسیب‌پذیر 1.13.8 در محیط Docker راه‌اندازی شده است
• یک فیلد ورودی (مانند info.description) در مشخصات OpenAPI با payload دلخواه مقداردهی شده است:
• اندپوینت مستندات OpenAPI در آدرس /docs در دسترس قرار گرفته است
• کاربر قربانی با مرورگر خود به آدرس /docs مراجعه کرده است
• payload در مرورگر قربانی اجرا شده و پنجره بازشو با پیام مورد نظر را نمایش داده شده است
• این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و کد اکسپلویت واقعی کامل ارائه نشده است
• نتایج نشان می‌دهد که چگونه عدم escape کردن خروجی می‌تواند منجر به XSS کامل در صفحه مستندات شود

شکل 2: اثبات اجرای آسیب پذیری در آزمایشگاه

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-33331

https://nvd.nist.gov/vuln/detail/CVE-2026-33331

https://cwe.mitre.org/data/definitions/79.html

https://www.tenable.com/cve/CVE-2026-33331

https://github.com/search?q=CVE-2026-33331&type=repositories

https://cvefeed.io/vuln/detail/CVE-2026-33331

Lobot Slider Administrator (WordPress Plugin)

CVE-2026-33331 – Cross-Site Request Forgery (CSRF) in Slider Configuration

Affects

Lobot Slider Administrator plugin for WordPress
Versions:
- ≤ 0.6.0
Deployments where:
- The plugin is installed and active,
- WordPress administrators access the plugin configuration panel,
- No additional CSRF protections are implemented.

Description

CVE-2026-33331 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the Lobot Slider Administrator plugin for WordPress.

The vulnerability is caused by missing or incorrect nonce validation in the fourty_slider_options_page function. WordPress nonces are designed to protect against CSRF attacks by ensuring that requests originate from authorized users.

Due to the lack of proper validation, an attacker can craft a malicious request that, when executed by an authenticated administrator, can modify plugin configuration settings without the administrator’s consent.

This vulnerability does not allow direct unauthenticated access, but relies on social engineering to trick an administrator into triggering the malicious request.

Attack Vector

Primary Attack Vector:
Remote / CSRF (User Interaction Required)

Attack Scenario:

An attacker crafts a malicious HTTP request targeting the plugin’s configuration endpoint.
The attacker embeds the request in a:
- malicious website,
- phishing email,
- hidden form or link.
A WordPress administrator logs into the target site.
The administrator is tricked into clicking the malicious link or visiting the attacker-controlled page.
The browser automatically sends the forged request with valid session cookies.
Due to missing nonce validation, the request is accepted and processed.
The plugin configuration is modified without the administrator’s intent.

Key Characteristics:

No authentication required by the attacker.
Requires an authenticated administrator session.
Requires user interaction (clicking a link or visiting a page).
Exploitation occurs via browser-based request forgery.

Conditions Increasing Risk:

Administrators browsing untrusted websites while logged in.
Lack of CSRF protections (nonces).
Plugins exposing sensitive configuration endpoints.
Absence of additional security controls (e.g., WAF).

Impact

Successful exploitation may allow an attacker to:

Modify slider configuration settings,
Inject malicious or misleading content into sliders,
Redirect users to attacker-controlled content,
Potentially facilitate phishing or malware distribution via altered site content.

Impact is primarily on integrity, with possible indirect effects on users of the affected website.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation reported at disclosure time.
CSRF vulnerabilities in WordPress plugins are commonly exploited in:
- phishing campaigns,
- malicious advertising (malvertising),
- targeted attacks against administrators.

Severity & Metrics

Severity: Medium
Attack Vector: Network
Privileges Required: None (attacker), but requires admin session
User Interaction: Required
Impact:
- Confidentiality: Low
- Integrity: Moderate
- Availability: None

Relevant CWE:

CWE-352 – Cross-Site Request Forgery (CSRF)
CWE-284 – Improper Access Control

Patch & Vendor Status

A patched version is expected beyond 0.6.0 (if available).
The fix should include:
- proper implementation of WordPress nonce validation,
- verification of request origin and intent.

Users should update the plugin immediately when a patched version is available.

Mitigation & Remediation

Immediate Actions

Update the Lobot Slider Administrator plugin to the latest available version.
If no patch is available:
- temporarily disable or remove the plugin.

Defensive Measures

Implement CSRF protections (nonces) in custom plugins.
Use a Web Application Firewall (WAF) to filter suspicious requests.
Educate administrators about phishing and malicious links.
Log out of admin sessions when not in use.

Detection & Monitoring

Indicators of Potential Exploitation:

Unexpected changes to slider configuration.
Unauthorized content appearing in sliders.
Logs showing configuration changes without clear admin action.

Recommended Monitoring:

WordPress audit logs.
Plugin configuration change history.
HTTP request logs for suspicious POST/GET requests.

Post-Incident Response

If exploitation is suspected:

Review recent configuration changes in the plugin.
Restore known-good configuration.
Check for injected malicious content.
Update or disable the vulnerable plugin.
Invalidate admin sessions and reset credentials if needed.

Summary Table

Category	Details
Vulnerability	Cross-Site Request Forgery (CSRF)
Component	`fourty_slider_options_page` function
Attack Vector	Remote, user interaction required
Impact	Unauthorized configuration changes
Affected Versions	≤ 0.6.0
Severity	Medium

References

WordPress Security Best Practices – Nonces
CWE-352: Cross-Site Request Forgery
NVD – CVE-2026-33331

CVE-2026-33331

oRPC: Stored XSS in OpenAPI Documentation Generation