❗ وردپرس در نسخههای پیش از ۶.۸.۳ در موقع نوشتن دادهها در DOM صفحه، برخی مقادیر را به درستی escape نمیکند. این مشکل مخصوص نقش نویسندگان و یا بالاتر است و میتواند منجر به حمله Stored XSS شود.
🛠 این ضعف امنیتی با شناسه CVE-2025-58674 ثبت شده و شدت آن به سطح متوسط (CVSS 5.9) ارزیابی شده است.
✳️ توصیههای امنیتی و راه مقابله:
• اگر سایت شما با وردپرس نسخه زیر ۶.۸.۳ اجرا میشود، فورا آن را به نسخه ۶.۸.۳ یا بالاتر بروزرسانی کنید.
• دسترسی نویسندگان (Author) به امکانات ویرایش کد یا محتواهای HTML را محدود کنید.
• افزونهها و قالبها را برای وجود XSS یا مشکلات مشابه بررسی کنید.
• از افزونههای امنیتی (Web Application Firewall) استفاده نمایید تا ورودیهای مشکوک را فیلتر کند.
• دسترسی ورود و نقشها را به سختی کنترل کنید و لاگها را مرتب پایش نمایید.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
