کشف آسیبپذیری
کشف آسیبپذیری در افزونه JAY Login & Register وردپرس
آسیبپذیری CVE-2025-15027 (شدت 9.8) در افزونه JAY Login & Register وردپرس به دلیل عدم اعتبارسنجی مناسب، امکان تغییر دلخواه متادیتای کاربران و ارتقای نقش به Administrator بدون احراز هویت را میدهد. تمام نسخههای تا 2.6.03 آسیبپذیرند؛ سوءاستفاده ساده و از راه دور است و بهروزرسانی فوری ضروری میباشد.
کشف آسیبپذیری در افزونه JAY Login & Register وردپرس
آسیبپذیری CVE-2025-15027 با شدت 9.8 در افزونه وردپرسی JAY Login & Register به دلیل ضعف در اعتبارسنجی درخواستهای ثبتنام کاربران ایجاد شده است. این افزونه اجازه میدهد مهاجم بدون احراز هویت، متادیتای کاربران را بهصورت دلخواه تغییر دهد. در نتیجه، مهاجم میتواند نقش کاربری خود را به مدیر (Administrator) ارتقا دهد. این نقص منجر به دسترسی کامل به سایت وردپرسی میشود. تمام نسخهها تا 2.6.03 تحت تأثیر قرار دارند. سوءاستفاده از این آسیبپذیری بسیار ساده و از راه دور امکانپذیر است. این مسئله یک تهدید بحرانی برای امنیت سایت محسوب میشود. بهروزرسانی فوری افزونه توصیه میشود.
- افزونه WordPress:
JAY Login & Register
- تمام نسخهها تا و شامل 2.6.03
این آسیبپذیری بهدلیل نقص در تابع jay_login_register_ajax_create_final_user رخ میدهد و به مهاجم غیرمعتبر اجازه میدهد متادیتای کاربری را تغییر دهد و نقش خود را به Administrator ارتقا دهد.
- بهروزرسانی افزونه JAY Login & Register به آخرین نسخه امن.
- غیرفعالسازی موقت افزونه در صورت عدم نیاز تا زمان پچ رسمی.
- نصب افزونههای امنیتی مانند Wordfence یا iThemes Security برای شناسایی تلاشهای سوءاستفاده.
- استفاده از CAPTCHA یا محدودسازی درخواستهای AJAX حساس.
- بازبینی و مدیریت نقشهای کاربری و حذف حسابهای مشکوک.
- بررسی لاگها برای شناسایی تلاشهای غیرمجاز ارتقای دسترسی.
نظر دهید