کشف آسیب‌پذیری در افزونه Print Invoice & Delivery Notes برای WooCommerce

آسیب‌پذیری CVE-2025-13773 با شدت 9.8 یک نقص امنیتی بحرانی در افزونه Print Invoice & Delivery Notes for WooCommerce وردپرس است که تا نسخه 5.8.0 وجود دارد. این مشکل به دلیل نبود بررسی سطح دسترسی در تابع WooCommerce_Delivery_Notes::update ایجاد شده و باعث می‌شود کاربران غیرمجاز بتوانند به این تابع دسترسی پیدا کنند. در کنار این ضعف، فعال بودن اجرای کد PHP در کتابخانه Dompdf و نبود escaping مناسب در فایل template.php شرایط را برای اجرای کد دلخواه روی سرور فراهم می‌کند. مهاجم بدون نیاز به احراز هویت می‌تواند کد مخرب خود را اجرا کرده و کنترل سرور را به دست بگیرد. این آسیب‌پذیری می‌تواند منجر به سرقت اطلاعات، دستکاری سایت یا نصب بدافزار شود. به دلیل سادگی بهره‌برداری و تأثیر گسترده، این نقص یک تهدید جدی برای وب‌سایت‌های ووکامرسی محسوب می‌شود.

محصولات تحت‌تأثیر

• افزونه: Print Invoice & Delivery Notes for WooCommerce
• پلتفرم: وب‌سایت‌های WordPress که از ووکامرس استفاده می‌کنند
• نسخه‌های آسیب‌پذیر: تمام نسخه‌ها تا و شامل 5.8.0.

توصیه‌های امنیتی

• به‌روزرسانی فوری افزونه به آخرین نسخه‌ی وصله‌شده (جدای از نسخه‌های ≤ 5.8.0).
• حذف/غیرفعال‌سازی موقت افزونه در صورت عدم نیاز تا زمان رفع کامل.
• فعال‌سازی فایروال وب (WAF) برای جلوگیری از درخواست‌های مخرب به تابع update.
• بررسی لاگ‌ها برای شناسایی تلاش‌های غیرمجاز برای اجرای کد.
• محدود کردن دسترسی به بخش‌های مدیریتی و APIهای مرتبط با این افزونه.
• استفاده از پلاگین‌های امنیتی وردپرس مانند Wordfence یا iThemes Security.
• مانیتورینگ مداوم فایل‌ها و دایرکتوری‌های حساس برای شناسایی تغییرات ناخواسته.