⚠️ پژوهشگران امنیتی آسیبپذیری بسیار خطرناکی (CVE-2025-13486) را در ACF Extended شناسایی کردهاند که نسخههای 0.9.0.5 تا 0.9.1.1 را تحت تأثیر قرار میدهد. این ضعف در تابع prepare_form قرار دارد که ورودی کاربر را بدون اعتبارسنجی دریافت کرده و با استفاده از call_user_func_array اجرا میکند. بدین ترتیب مهاجم بدون هیچ احراز هویتی قادر است کد دلخواه را روی سرور اجرا کند.
⚠️ در نتیجه، مهاجمان میتوانند در سایتهای آسیبدیده وبشِل (web-shell) نصب کنند، دربپشتی (backdoor) ایجاد کنند و حتی حساب مدیر جدید بسازند.
✳️ توصیهها:
- افزونه را به نسخه 0.9.2 (یا جدیدتر) ارتقا دهید.
- همچنین به صورت کلی پوشۀ /wp-content/uploads/ را برای فایلهای PHP مشکوک بررسی کنید؛ حسابهای مدیران سایت را بازبینی کنید و در صورت امکان از افزونههای امنیتی یا فایروال وباپلیکیشن (WAF) استفاده کنید تا درخواستهای خطرناک مسدود شوند.
شبکه اجتماعی آزمایشگاه امنیت وایت لب
