شناسه CVE-2026-3629 :CVE
CWE-269 :CWE
yes :Advisory
منتشر شده: مارس 21, 2026
به روز شده: آوریل 8, 2026
امتیاز: 8.1
نوع حمله: Privilege Escalation

اثر گذاری: Administrator Privilege Escalation
حوزه: سیستم مدیریت محتوا
برند: carazo
محصول: Import and export users and customers
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

این آسیب‌پذیری در پلاگین Import and export users and customers برای سیستم مدیریت محتوای وردپرس، ناشی از مدیریت نادرست مجوزهای متادیتای کاربران است و می‌تواند به مهاجم اجازه دهد بدون نیاز به احراز هویت، از طریق ارسال یک درخواست ثبت‌نام (registration request) دستکاری‌شده، سطح دسترسی خود را به Administrator افزایش دهد.

توضیحات

آسیب‌پذیری CVE-2026-3629 از نوع مدیریت نادرست سطح دسترسی مطابق با CWE‑269 در پلاگین Import and export users and customers برای وردپرس است.

ریشه این آسیب‌پذیری به نحوه پیاده‌سازی تابع save_extra_user_profile_fields در کد پلاگین بازمی‌گردد. این تابع وظیفه ذخیره فیلدهای اضافی پروفایل کاربران را بر عهده دارد. در حالت ایمن، چنین توابعی باید تنها اجازه به‌روزرسانی مجموعه محدودی از کلیدهای متادیتای کاربر را بدهند. با این حال، در این پلاگین مکانیزم محدودسازی به درستی پیاده‌سازی نشده است. متد get_restricted_fields که برای جلوگیری از تغییر فیلدهای حساس طراحی شده، برخی کلیدهای حیاتی امنیتی از جمله wp_capabilities را در لیست فیلدهای محدودشده قرار نمی‌دهد.

در وردپرس، کلید متادیتای wp_capabilities نقش مهمی در تعیین نقش کاربر و سطح دسترسی او در سیستم دارد. این مقدار مشخص می‌کند که یک حساب کاربری چه مجوزهایی دارد؛ برای مثال نقش‌هایی مانند Subscriber، Editor یا Administrator از طریق همین متادیتا تعیین می‌شوند. در نتیجه، اگر مهاجم بتواند مقدار این کلید را تغییر دهد، قادر خواهد بود نقش خود را به سطح مدیریتی (Administrator) افزایش دهد.

در سناریوی بهره‌برداری، مهاجم غیرمجاز می‌تواند یک درخواست ثبت‌نام یا به‌روزرسانی پروفایل دستکاری‌شده (Manipulated Registration/Update Request) ارسال کند که در آن مقدار متادیتای wp_capabilities به صورت دلخواه تنظیم شده است. از آنجا که پلاگین محدودیت لازم را اعمال نمی‌کند، این مقدار بدون اعتبارسنجی مناسب در پایگاه داده ثبت می‌شود و حساب کاربری ایجاد شده می‌تواند با سطح دسترسی Administrator تخصیص یابد.

بهره‌برداری از این آسیب‌پذیری مشروط به برقراری دو پیش‌شرط است:

فعال بودن گزینه “Show fields in profile” در تنظیمات پلاگین؛ این گزینه باعث می‌شود فیلدهای اضافی پروفایل در ثبت‌نام یا ویرایش پروفایل قابل دسترسی باشند.
از قبل یک فایل CSV شامل ستون wp_capabilities در سیستم بارگذاری شده باشد؛ در این صورت پلاگین این فیلد را به عنوان فیلد قابل ویرایش شناسایی می‌کند.

در صورتی که این شرایط برقرار باشد، مهاجم می‌تواند بدون نیاز به تعامل کاربر و بدون داشتن سطح دسترسی قبلی از طریق شبکه اقدام به ارسال درخواست مخرب کند.

این آسیب‌پذیری تأثیر قابل توجهی بر اصول سه‌گانه امنیت اطلاعات دارد. از نظر محرمانگی (Confidentiality)، دسترسی مدیریتی می‌تواند امکان مشاهده اطلاعات حساس کاربران و داده‌های وب‌سایت را فراهم کند. از نظر یکپارچگی (Integrity)، مهاجم قادر خواهد بود تنظیمات سایت، پلاگین‌ها و محتوای سیستم را تغییر دهد. همچنین از نظر دسترس‌پذیری (Availability)، یک مهاجم با دسترسی ادمین می‌تواند باعث اختلال در عملکرد سایت یا حتی از کار انداختن آن شود.

این ضعف امنیتی در نسخه 2.0 پلاگین پچ شده است؛ در نسخه پچ‌شده، محدودیت‌های سخت‌گیرانه‌تری برای مدیریت کلیدهای متادیتای کاربران اعمال شده و فیلدهای حساس مانند wp_capabilities به‌درستی از تغییر توسط کاربران غیرمجاز محافظت می‌شوند.

CVSS

Score	Severity	Version	Vector String
8.1	HIGH	3.1	CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

شکل 1: تفسیر جدول CVSS

لیست محصولات آسیب پذیر

Versions	Product
affected from 0 through 1.29.7	Import and export users and customers

لیست محصولات بروز شده

Versions	Product
2.0	Import and export users and customers

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Import and export users and customers را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
3	site:.ir “Import and export users and customers”	Import and export users and customers
1000000	site:.ir “wordpress”	wordpress

نتیجه گیری

این آسیب‌پذیری نشان می‌دهد که مدیریت نادرست مجوزهای متادیتای کاربران در پلاگین‌های وردپرس می‌تواند پیامدهای امنیتی بسیار جدی ایجاد کند. در این مورد خاص، محدودسازی ناکافی کلیدهای متادیتای حساس مانند wp_capabilities باعث شده است مهاجمان بدون نیاز به احراز هویت، در شرایط خاص سطح دسترسی خود را به Administrator افزایش دهند. برای کاهش ریسک سوءاستفاده از این ضعف، اقدامات زیر توصیه می‌شود:

به‌روزرسانی پلاگین: مهم‌ترین و مؤثرترین اقدام امنیتی، به‌روزرسانی پلاگین Import and export users and customers به نسخه 0 یا بالاتر است. سایر اقدامات نقش مکمل دارند و باعث کاهش ریسک در این حمله و حملات مشابه می‌شوند.
اعمال اصل حداقل دسترسی (Least Privilege): حساب‌های کاربری باید فقط مجوزهای ضروری برای انجام وظایف خود را داشته باشند. ایجاد حساب‌های مدیریتی اضافی یا غیرضروری سطح حمله را افزایش می‌دهد.
استفاده از فایروال اپلیکیشن وب(WAF) : WAF می‌تواند درخواست‌های مشکوک، از جمله تلاش برای تغییر غیرمجاز فیلدهای حساس در درخواست‌های HTTP را شناسایی و مسدود کند.
نظارت بر فعالیت کاربران: استفاده از سامانه‌های ثبت و تحلیل لاگ‌های امنیتی برای بررسی ایجاد حساب‌های جدید، تغییر نقش کاربران و فعالیت‌های مدیریتی مشکوک ضروری است.
ایمن‌سازی پیکربندی وردپرس: غیرفعال کردن قابلیت ثبت‌نام عمومی در صورت عدم نیاز، محدود کردن دسترسی به صفحات مدیریتی و فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای حساب‌های مدیریتی می‌تواند ریسک حمله را کاهش دهد.
بازبینی پلاگین‌های نصب‌شده: پلاگین‌هایی که به داده‌های کاربران یا نقش‌های سیستم دسترسی دارند باید به‌طور منظم بررسی شوند و در صورت عدم نیاز حذف گردند تا سطح حمله کاهش یابد.

اجرای این اقدامات به‌ویژه به‌روزرسانی سریع پلاگین‌ها، می‌تواند احتمال بهره‌برداری از آسیب‌پذیری‌های افزایش سطح دسترسی در محیط‌های وردپرسی را به شکل قابل توجهی کاهش دهد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)

مهاجم نیازی به دسترسی قبلی ندارد. او مستقیماً از طریق شبکه و با ارسال یک درخواست HTTP هدفمند (بدون نیاز به احراز هویت) به سایت وردپرس، دسترسی اولیه خود را (به عنوان یک کاربر عادی) ایجاد می‌کند.

Execution (TA0002)

در فاز اجرا (Execution)، مهاجم با استفاده از یک ابزار ساده خط فرمان (مانند cURL) یا یک اسکریپت پایتون، یک درخواست HTTP به آدرس wp-admin/admin-ajax.php با action مشخص و داده‌های wp_capabilities ارسال می‌کند.

Persistence (TA0003)

پس از افزایش دسترسی به مدیرکل (Administrator)، مهاجم می‌تواند با ایجاد کاربران جدید، تغییر رمز عبور کاربران موجود، نصب پلاگین‌های مخرب (که دسترسی دائمی را فراهم می‌کنند) و یا تغییر فایل‌های هسته وردپرس، دسترسی دائمی خود را در سایت فراهم کند.

Privilege Escalation (TA0004)

این تاکتیک، هدف اصلی این آسیب‌پذیری است. مهاجم با بهره‌برداری از نقص امنیتی، سطح دسترسی خود را از یک کاربر عادی (یا کاربر ثبت‌نام‌نشده) به بالاترین سطح دسترسی (مدیرکل) ارتقا می‌دهد.

Impact (TA0040)

بهره‌برداری موفق از این آسیب‌پذیری یک نقض کامل امنیت سایت وردپرس است. مهاجم با دسترسی کامل مدیرکل، قادر به نابودی محرمانگی، یکپارچگی و در دسترس بودن داده‌های سایت است. این دسترسی می‌تواند منجر به سرقت اطلاعات حساس (نظیر اطلاعات شخصی کاربران و اطلاعات کارت اعتباری)، تخریب یا باج‌گذاری داده‌ها (Ransomware)، تغییر در محتوای سایت، نصب بدافزار، ایجاد یک پایگاه دائمی برای حملات بعدی و در نهایت از کار افتادن کامل سرویس سایت شود. در چنین وضعیتی، اعتماد کاربران از بین رفته و سازمان با هزینه‌های سنگین ناشی از نقض داده‌ها، جریمه‌های قانونی و خسارت به اعتبار خود مواجه خواهد شد.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-3629

اطلاعات آسیب‌پذیری

عنوان: افزایش سطح دسترسی به مدیر (Administrator) از طریق به‌روزرسانی ناامن متادیتای کاربر در افزونه Import and export users and customers (WordPress)

شناسه: CVE-2026-3629

وضعیت مشاوره: Advisory / Patch Available

امتیاز: CVSS: 8.1 (Critical)

محصول: افزونه Import and export users and customers برای وردپرس

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر (پیش از اعمال پچ امنیتی فوریه 2026):

افزونه Import and export users and customers در تمام نسخه‌های قبلی از جمله 1.29.7 و پایین‌تر
سیستم‌های وردپرسی که این افزونه روی آن‌ها نصب و فعال است
تمام محیط‌های عملیاتی که از این افزونه برای مدیریت کاربران استفاده می‌کنند

محیط‌های درگیر

سازمان‌هایی که از وردپرس با قابلیت ثبت‌نام کاربر (user registration) استفاده می‌کنند
سایت‌هایی که تنظیم “Show fields in profile” در این افزونه فعال است
سایت‌هایی که فایل CSV حاوی ستون wp_capabilities قبلاً در آن‌ها ایمپورت شده است
وب‌سایت‌های تجارت الکترونیک، انجمن‌ها، سرویس‌های اشتراکی و هر سایت وردپرسی با کاربران متعدد

کامپوننت‌های آسیب‌پذیر

تابع save_extra_user_profile_fields، عدم محدودیت صحیح در به‌روزرسانی کلیدهای متاداده کاربر
متد get_restricted_fields، عدم شامل بودن کلیدهای حساس مانند wp_capabilities در لیست محدودیت‌ها
فایل classes/columns.php پردازش ناامن ستون‌های CSV در پروفایل کاربر
فایل classes/helper.php منطق ناقص محدودسازی فیلدهای حساس
فرآیند ایمپورت CSV، قابلیت نوشتن مستقیم در متادیتای کاربر بدون اعتبارسنجی کافی

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری به ترکیبی از دو نقص امنیتی اساسی در طراحی افزونه بازمی‌گردد. اولین نقص از نوع “مدیریت نادرست دسترسی‌ها” (CWE-269) است. تابع save_extra_user_profile_fields هنگام به‌روزرسانی پروفایل کاربر، به درستی محدود نمی‌کند که چه کلیدهای متاداده‌ای (user meta keys) قابل تغییر هستند. دومین نقص، حذف کلیدهای حساس از لیست محدودیت‌ها است. متد get_restricted_fields کلیدهایی مانند wp_capabilities (که سطح دسترسی کاربر در وردپرس را تعیین می‌کند) را در لیست فیلدهای ممنوع قرار نداده است. این دو ضعف از طریق قابلیت ایمپورت CSV افزونه قابل بهره‌برداری هستند. فایل CSV برای مثال:

user_login,user_email,wp_capabilities
testuser,test@example.com,a:1:{s:13:"administrator";b:1;}

در سناریوی بهره‌برداری کلی، مهاجم ابتدا مطمئن می‌شود که تنظیم “Show fields in profile” فعال است و یک فایل CSV با ستون wp_capabilities قبلاً ایمپورت شده است. سپس با ارسال یک درخواست ثبت‌نام دستکاری‌شده که متاداده wp_capabilities را به administrator تنظیم می‌کند، بدون نیاز به احراز هویت، سطح دسترسی خود را به مدیر ارتقا می‌دهد

بخش آسیب‌پذیر

رفتار ناامن سیستم:

عدم محدودیت صحیح کلیدهای متاداده‌ای که کاربران می‌توانند از طریق فرم پروفایل یا ثبت‌نام به‌روزرسانی کنند. سیستم به مهاجم اجازه می‌دهد کلید wp_capabilities را که سطح دسترسی را تعیین می‌کند، مستقیماً مقداردهی کند. این رفتار ناامن باعث می‌شود که هر مهاجم بدون احراز هویت، بتواند با ارسال یک درخواست ساده، نقش خود را به Administrator ارتقا دهد.

نحوه سوءاستفاده مهاجم:

مهاجم یک سایت وردپرسی هدف را شناسایی می‌کند که افزونه آسیب‌پذیر روی آن نصب است
مهاجم بررسی می‌کند که تنظیم “Show fields in profile” در افزونه فعال باشد (پیش‌نیاز)
مهاجم اطمینان حاصل می‌کند که یک فایل CSV با هدر ستون wp_capabilities قبلاً در سیستم ایمپورت شده باشد (پیش‌نیاز)
مهاجم یک درخواست ثبت‌نام به آدرس /wp-login.php?action=register ارسال می‌کند
در بدنه درخواست، مهاجم یک فیلد سفارشی با کلید wp_capabilities و مقدار administrator قرار می‌دهد
افزونه به دلیل ضعف در متد get_restricted_fields، این فیلد را به عنوان فیلد مجاز تلقی کرده و مقدار آن را در متاداده کاربر ذخیره می‌کند
حساب کاربری جدید با سطح دسترسی Administrator ایجاد می‌شود
مهاجم وارد پنل مدیریت وردپرس شده و کنترل کامل سایت را در اختیار می‌گیرد

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک نقطه ورود اولیه (Initial Access) بسیار قدرتمند و یک ابزار افزایش سطح دسترسی کامل در زنجیره حمله محسوب می‌شود. با توجه به نمره CVSS 8.1 (بالا) و عدم نیاز به احراز هویت، مهاجم می‌تواند از راه دور و بدون نیاز به هرگونه تعامل با کاربر، کنترل کامل سایت وردپرس را در دست گیرد . موفقیت در بهره‌برداری از این آسیب‌پذیری عملاً به معنای نقض کامل محرمانگی (Confidentiality)، یکپارچگی (Integrity) و در دسترس بودن (Availability) سایت هدف است. مهاجم می‌تواند با دسترسی ادمین، پلاگین‌های مخرب نصب کند، محتوای سایت را تغییر دهد، پایگاه داده را استخراج کند، یا سایت را از دسترس خارج سازد. با توجه به سادگی بهره‌برداری و وجود مستندات فنی کامل، این آسیب‌پذیری یک تهدید جدی و فوری برای تمام سازمان‌هایی که از این افزونه استفاده می‌کنند محسوب می‌شود.

پیش‌نیازهای بهره‌برداری (Prerequisites)

فعال بودن تنظیم “Show fields in profile” در افزونه Import and export users and customers
ایمپورت قبلی یک فایل CSV با ستون wp_capabilities در سیستم (برای راه‌اندازی ساختار متاداده)
استفاده از نسخه آسیب‌پذیر افزونه (نسخه 1.29.7 و پایین‌تر)
فعال بودن قابلیت ثبت‌نام کاربر در وردپرس
عدم اعمال پچ امنیتی (ارتقا به نسخه 1.29.8 یا بالاتر)
دسترسی شبکه مهاجم به فرم ثبت‌نام وردپرس

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

کلیدهای متاداده حساس مانند wp_capabilities باید در لیست get_restricted_fields قرار داشته باشند و هرگز از طریق فرم‌های عمومی به‌روزرسانی نشوند
تابع save_extra_user_profile_fields باید قبل از ذخیره هر متاداده، سطح دسترسی کاربر درخواست‌دهنده را بررسی کند
ایمپورت CSV نباید اجازه تغییر مستقیم نقش و دسترسی‌های کاربر را بدهد
اصل کمترین دسترسی (Least Privilege) در طراحی و پیاده‌سازی افزونه رعایت شود
مستندات افزونه به وضوح نسبت به خطرات فعالسازی تنظیم “Show fields in profile” هشدار دهند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به‌روزرسانی فوری افزونه “Import and export users and customers” به نسخه 1.29.8 یا بالاتر (که این آسیب‌پذیری در آن پچ شده است)
در صورت عدم امکان به‌روزرسانی فوری، غیرفعال کردن تنظیم “Show fields in profile” در تنظیمات افزونه
غیرفعال کردن موقت قابلیت ثبت‌نام کاربر در وردپرس
بررسی فایل‌های CSV ایمپورت شده برای وجود ستون wp_capabilities و حذف آن‌ها
بازبینی لیست کاربران سایت برای شناسایی حساب‌های Administrator اضافی یا مشکوک و حذف آن‌ها
تغییر رمز عبور تمام کاربران با سطح دسترسی Administrator

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

انجام اسکن کامل تمام سایت‌های وردپرس سازمان برای شناسایی نسخه‌های آسیب‌پذیر افزونه
پیاده‌سازی راهکارهای نظارت بر رویدادهای ثبت‌نام جدید کاربر و ارسال هشدار برای نقش‌های پرخطر
فعال‌سازی و تقویت لاگ‌برداری از رویدادهای امنیتی وردپرس با استفاده از پلاگین‌هایی مثل Wordfence
آموزش تیم‌های پشتیبانی و مدیریت وب‌سایت در خصوص خطرات پیکربندی ناامن افزونه‌های مدیریت کاربر
اجرای بازبینی امنیتی بر روی تنظیمات تمام افزونه‌های مرتبط با کاربر و دسترسی‌ها
محدود کردن دسترسی به فرم ثبت‌نام در صورت عدم نیاز عمومی

اقدامات بلندمدت برای کاهش ریسک:

استقرار راهکارهای خودکار به‌روزرسانی امنیتی (Patch Management) برای اعمال سریع وصله‌های امنیتی پلاگین‌های وردپرس
پیاده‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) برای کشف زودهنگام آسیب‌پذیری‌های مشابه
استفاده از ابزارهای تحلیل امنیتی خودکار مانند WPScan در چرخه CI/CD برای شناسایی پلاگین‌های آسیب‌پذیر قبل از استقرار در محیط تولید
تدوین و اجرای سیاست‌های سخت‌افزاری (هاردنینگ) وردپرس بر اساس راهنمای امنیتی رسمی
پیاده‌سازی احراز هویت چندعاملی (MFA) برای دسترسی به پنل مدیریت وردپرس

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

وجود درخواست‌های ثبت‌نام جدید که حاوی فیلدهای سفارشی غیرعادی (مانند wp_capabilities) در لاگ‌های وردپرس هستند
ایجاد ناگهانی حساب‌های کاربری جدید با نقش Administrator از آدرس‌های IP ناشناس
مشاهده لاگ خطاهای مربوط به متاداده wp_capabilities در دیتابیس وردپرس
تغییرات غیرمنتظره در فایل‌های functions.php یا wp-config.php که معمولاً توسط مهاجم با دسترسی ادمین انجام می‌شود
گزارش کاربران از وجود پست‌ها، صفحات یا پلاگین‌های ناشناس در سایت
افزایش ناگهانی ترافیک خروجی از سمت سرور (که حاکی از خروج داده یا نصب بدافزار است)
ورودهای موفق غیرعادی به پنل مدیریت از آدرس‌های IP غیرمعمول یا خارج از بازه کاری

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ‌های امنیتی وردپرس (با استفاده از پلاگین‌هایی مثل WP Security Audit Log یا Simple History)
لاگ‌های دسترسی وب‌سرور برای بررسی الگوهای درخواست به wp-login.php و wp-admin
لاگ‌های پایگاه داده MySQL برای ردیابی درج رکوردهای جدید در جدول wp_users و wp_usermeta
راهکارهای WAF مانند Cloudflare، Sucuri یا Wordfence با قوانین اختصاصی برای مسدودسازی درخواست‌های حاوی wp_capabilities در پارامترهای ثبت‌نام
سیستم‌های SIEM برای جمع‌آوری و تحلیل مرکزی لاگ‌های وردپرس و وب‌سرور
راهکارهای EDR برای پایش سرورهای میزبان وردپرس

واکنش به حادثه (Incident Response)

ایزوله‌سازی فوری سایت وردپرس آسیب‌دیده از شبکه (قرار دادن در حالت maintenance) جهت جلوگیری از ادامه نفوذ و حرکت جانبی مهاجم
جمع‌آوری و حفظ لاگ‌های وردپرس، وب‌سرور، پایگاه داده و ترافیک شبکه مرتبط برای فارنزیک
بازبینی جدول wp_users و wp_usermeta در پایگاه داده برای شناسایی کاربران Administrator غیرمجاز و حذف آن‌ها
بازنشانی رمز عبور تمام کاربران با سطح دسترسی Administrator و نصب احراز هویت دو مرحله‌ای
بازبینی فایل‌های wp-config.php، functions.php، قالب فعال و فایل‌های .htaccess برای شناسایی تغییرات مخرب و حذف آن‌ها
حذف پلاگین‌ها یا قالب‌های ناشناس و مخربی که ممکن است مهاجم نصب کرده باشد
اسکن کامل سایت با ابزارهای امنیتی مانند Wordfence یا Sucuri برای اطمینان از پاکی سیستم
اعمال پچ امنیتی (ارتقا افزونه به نسخه 1.29.8 یا بالاتر)
اسکن سایر سایت‌های هاست شده روی سرور برای شناسایی نفوذ احتمالی به سایت‌های دیگر
مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، جریان کلی بهره‌برداری از این آسیب‌پذیری برای افزایش سطح دسترسی به Administrator نشان داده شده است. در این سناریو، مهاجم با ارسال یک درخواست ثبت‌نام ساده (بدون احراز هویت) حاوی فیلد wp_capabilities، یک حساب کاربری Administrator ایجاد کرده و کنترل کامل سایت وردپرس را به دست می‌آورد.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر بررسی و اجرا کرده است

یک سایت وردپرس، نصب افزونه Import and export users and customers نسخه 1.29.7، فعال بودن گزینه “Anyone can register” و “Show fields in profile”
یک فایل CSV با هدر ستون wp_capabilities در سیستم ایمپورت می‌کند تا ساختار متاداده راه‌اندازی شود
ارسال درخواست POST به /wp-login.php?action=register با پارامترهای زیر:

user_login: attacker
user_email: attacker@example.com
user_pass: strongpassword
wp_capabilities: administrator

افزونه بدون بررسی امنیتی، کاربر جدید را ایجاد کرده و متاداده wp_capabilities را با مقدار administrator ذخیره می‌کند
با نام کاربری attacker و رمز عبور strongpassword وارد پنل /wp-admin شده و دسترسی کامل دارد
این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمی‌شود

شکل 2: اجرای POC

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-3629

https://nvd.nist.gov/vuln/detail/CVE-2026-3629

https://cwe.mitre.org/data/definitions/269.html

https://github.com/PySecTools/CVE-2026-3629

Import and export users and customers WordPress Plugin

CVE-2026-3629 – Pre-Authentication Privilege Escalation via Unrestricted Meta-Key Update

Affects

Import and export users and customers plugin for WordPress
Versions:
- All versions up to 1.29.7 (including all previous versions)
Components:
- Profile field management system
- CSV import functionality
- User registration module
Files:
- classes/columns.php (lines 193, 217)
- classes/helper.php (line 146)
Functions:
- save_extra_user_profile_fields()
- get_restricted_fields()

Description

CVE-2026-3629 is a critical pre-authentication privilege escalation vulnerability in the Import and export users and customers plugin for WordPress.

The plugin allows administrators to import users via CSV files and define custom profile fields. A flaw exists in the save_extra_user_profile_fields function, which does not properly restrict which user meta keys can be updated during profile field operations. The get_restricted_fields method fails to include sensitive meta keys such as 'wp_capabilities' in its restriction list.

The issue arises because:

The get_restricted_fields method does not block sensitive WordPress meta keys
The save_extra_user_profile_fields function does not validate the meta_key being updated
An attacker can manipulate the wp_capabilities meta key through profile field updates
No authentication is required to exploit this vulnerability

This results in privilege escalation to Administrator, allowing attackers to:

Gain full administrative access to the WordPress site,
Modify site content and settings,
Install malicious plugins,
Access sensitive user data,
Maintain persistent access.

Attack Vector

Primary Attack Vector:
Remote / Unauthenticated (HTTP/HTTPS on WordPress installation)

Prerequisites for Exploitation:

The “Show fields in profile” setting must be enabled in the plugin configuration
A CSV file containing a wp_capabilities column header must have been previously imported

Attack Scenario:

An attacker identifies a WordPress site running the vulnerable plugin (version ≤ 1.29.7)
The attacker confirms the “Show fields in profile” setting is enabled
The attacker submits a crafted registration request that sets the wp_capabilities meta key to a value granting administrator privileges
Due to the lack of restriction on the wp_capabilities meta key, the plugin processes and stores this value
The attacker’s user account is escalated to Administrator role

Key Characteristics:

No authentication required (pre-auth)
No user interaction required
Exploitable over the network via HTTP/HTTPS
Attack complexity is HIGH due to required conditions

Conditions Increasing Risk:

Public exposure of WordPress registration forms
Default plugin configuration (where “Show fields in profile” may be enabled)
Previous CSV imports containing custom meta-key columns
Lack of input validation on user profile fields

Impact

Successful exploitation allows:

Privilege escalation to Administrator without any credentials,
Full WordPress site compromise,
Backdoor installation and persistence,
Data theft (user database, sensitive information),
Malware or ransomware deployment,
Site defacement,
Supply chain attacks if the compromised site serves updates or scripts.

This represents a complete WordPress site takeover risk.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation at disclosure (March 21, 2026)
High likelihood of exploitation due to:
- Unauthenticated access (no credentials needed)
- Widespread usage of WordPress plugins
- Relatively low attack complexity once prerequisites are met
Active monitoring by security researchers and Wordfence is ongoing

Severity & Metrics

CVSS v3.1: High (8.1)
Attack Vector: Network
Attack Complexity: High
Privileges Required: None
User Interaction: None
Scope: Unchanged

Relevant CWE:

CWE-269 – Improper Privilege Management
CWE-284 – Improper Access Control

Patch & Vendor Status

Fixed version: 1.29.8 or later
Patch available: Yes (changeset 3483330)
Vendor notified: March 13, 2026
Public disclosure: March 21, 2026

Mitigation & Remediation

Immediate Actions

Update the plugin immediately:
Upgrade to version 1.29.8 or higher
Disable “Show fields in profile” setting:
Navigate to plugin settings and disable this option if not absolutely required
If update is not possible, deactivate the plugin until a patch can be applied

Defensive Measures

Audit existing CSV files for any containing wp_capabilities column headers
Review all user accounts for unauthorized privilege escalations, particularly users with Administrator roles created after the plugin was activated
Implement role-based access controls and enforce the principle of least privilege
Use Web Application Firewall (WAF) rules to block suspicious registration requests attempting to set sensitive meta keys
Monitor registration activity for anomalies

Long-term Recommendations

Keep all WordPress plugins updated to their latest versions
Remove unused plugins to reduce attack surface
Implement security plugins (e.g., Wordfence) for continuous monitoring
Regular security audits of plugin configurations and user roles
Maintain regular backups for disaster recovery

Detection & Hunting

Indicators of Compromise (IOCs):

New user accounts with Administrator role created without legitimate administrative action
Registration requests containing wp_capabilities in POST data
Unexpected changes to user role assignments
Unusual entries in user meta table (wp_usermeta) with wp_capabilities keys

Log analysis:

Check WordPress debug logs for unexpected meta key updates
Review access logs for POST requests to registration endpoints (/wp-login.php?action=register, /wp-json/*)
Monitor WordPress security audit plugins for privilege escalation events

Hunting Queries:

Search for users registered with suspicious meta data:

SELECT user_id, meta_key, meta_value 
FROM wp_usermeta 
WHERE meta_key = 'wp_capabilities' 
AND meta_value LIKE '%administrator%'
AND user_id NOT IN (/* known admin IDs */)

Post-Incident Response

If exploitation is suspected:

Isolate affected WordPress site from the network immediately
Identify all compromised user accounts and remove unauthorized Administrator roles
Preserve forensic evidence (access logs, database backups, plugin files)
Rotate all credentials including WordPress admin passwords, database passwords, and any API keys stored on the server
Audit for backdoors (check for unknown plugins, theme files, .php files in upload directories, cron jobs)
Assume full compromise – conduct comprehensive investigation rather than simple password changes
Rebuild from trusted backup or perform clean installation if integrity cannot be assured
Report incident to relevant stakeholders and consider notifying affected users if personal data was exposed

References

https://nvd.nist.gov/vuln/detail/CVE-2026-3629https://nvd.nist.gov/vuln/detail/CVE-2026-3629
https://vulnerability.circl.lu/vuln/CVE-2026-3629
https://cvepremium.circl.lu/vuln/fkie_cve-2026-3629
https://freshysites.com/security-bulletins/wordpress-security-bulletin-import-and-export-users-and-customers-plugin-vulnerability-cve-2026-3629/
https://vulnerability.circl.lu/vuln/CVE-2026-3629

بررسی آماری آسیب پذیری CVE-2026-3629 در کشور ایران

محصول آسیب پذیر: افزونه “Import and export users and customers” برای وردپرس (تمامی نسخه‌های 1.29.7 و پایین‌تر)

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

وردپرس به عنوان محبوب‌ترین سیستم مدیریت محتوا در جهان، سهم قابل توجهی از وب‌سایت‌های ایرانی را به خود اختصاص داده است. داده‌های جمع‌آوری‌شده در می ۲۰۲۶ نشان می‌دهد که ۱۱,000 فروشگاه اینترنتی ایرانی از وردپرس استفاده می‌کنند. همچنین، بررسی‌های BuiltWith در آپریل ۲۰۲۶ حاکی از وجود ۴۵,000 مورد استفاده از فریم‌ورک‌های قالب وردپرس در ایران است. افزونه “Import and export users and customers” به طور خاص طبق داده‌های وب‌سایت “همیار وردپرس” بیش از ۵۰ هزار نصب فعال در سطح جهانی دارد و مقالات آموزشی متعددی به زبان فارسی در مورد نحوه استفاده از آن وجود دارد. این امر نشان‌دهنده محبوبیت و استفاده گسترده از این افزونه در میان کاربران فارسی‌زبان و به تبع آن، جامعه کاربران وردپرس در ایران است. با این حال، آمار دقیق نصب این افزونه به صورت جداگانه برای ایران در دسترس نیست.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش

موتور جستجو	Dork	تعداد
Google	site:.ir “Import and export users and customers”	۳
Google	Site:.ir “wordpress”	1,000,000

وجود نمایندگی در ایران

افزونه “Import and export users and customers” توسط توسعه‌دهنده (carazo) ساخته شده است که دفتر رسمی یا نمایندگی در ایران ندارد. دسترسی و پشتیبانی از این افزونه صرفاً از طریق مخزن رسمی وردپرس و جامعه کاربران آنلاین صورت می‌گیرد.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

با وجود عدم وجود آمار رسمی و مجزا از نصب افزونه “Import and export users and customers” در ایران، شواهد متعددی حاکی از استفاده قابل توجه از آن در کشور است.

استفاده از وردپرس در ایران: طبق داده‌های وب‌سایت‌های ردیابی تکنولوژی، وردپرس در ایران از محبوبیت بالایی برخوردار است؛ به طوری که حداقل ۱۱,000 فروشگاه اینترنتی از آن استفاده می‌کنند وتعداد زیادی وب‌سایت ایرانی بر پایه وردپرس فعالیت می‌کنند. این حجم بالای استفاده از وردپرس، بستر بالقوه بزرگی برای استفاده از افزونه‌های مرتبط با مدیریت کاربران فراهم می‌کند.
محبوبیت افزونه در بین کاربران فارسی‌زبان: وجود مقالات آموزشی متعدد و راهنماهای نصب به زبان فارسی در وب‌سایت‌های معتبر ایرانی مانند “همیار وردپرس” و “وب‌آرین” به وضوح نشان‌دهنده کاربرد و استقبال از این افزونه در جامعه توسعه‌دهندگان و مدیران وب‌سایت‌های ایرانی است.
تخمین میزان استفاده: با توجه به کاربرد اصلی این افزونه (انتقال و مدیریت کاربران) و فرهنگ رایج در ایران که بسیاری از وب‌مستران برای انجام چنین تسک‌هایی به سراغ افزونه‌های رایگان و محبوب می‌روند، می‌توان تخمین زد که تعداد زیادی وب‌سایت و فروشگاه اینترنتی ایرانی از نسخه‌های آسیب‌پذیر این افزونه استفاده می‌کنند. این موضوع به ویژه با توجه به اینکه اکثر کاربران ممکن است از وجود این آسیب‌پذیری و لزوم به‌روزرسانی افزونه مطلع نباشند، نگران‌کننده است.

منابع

CVE-2026-3629

Import and export users and customers- Privilege Escalation to Administrator via save_extra_user_profile_fields

گزارش اثبات آسیب‌پذیری CVE-2026-3629

محصول / نسخه‌های آسیب‌پذیر

محیط‌های درگیر

کامپوننت‌های آسیب‌پذیر

ریشه مشکل (Root Cause Analysis)

بخش آسیب‌پذیر

رفتار ناامن سیستم:

نحوه سوءاستفاده مهاجم:

نقش این آسیب‌پذیری در زنجیره حمله

پیش‌نیازهای بهره‌برداری (Prerequisites)

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

اقدامات بلندمدت برای کاهش ریسک:

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

منابع پیشنهادی برای مانیتورینگ و پایش:

واکنش به حادثه (Incident Response)

جریان حمله (Attack Flow)

اثبات مفهوم (PoC) — کاملاً غیرمخرب

رفع مسئولیت

منابع

Import and export users and customers WordPress Plugin

CVE-2026-3629 – Pre-Authentication Privilege Escalation via Unrestricted Meta-Key Update

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Defensive Measures

Long-term Recommendations

Detection & Hunting

Post-Incident Response

References

بررسی آماری آسیب پذیری CVE-2026-3629 در کشور ایران

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

وجود نمایندگی در ایران

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

منابع

هشدار مایکروسافت درباره اکسپلویت فعال آسیب‌پذیری روز صفر Exchange Server

حمله Prompt Injection مبتنی بر تصویر، مدل‌های هوش مصنوعی چندوجهی را هدف قرار می‌دهد

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ