باگ CVE-2025-13486
باگCVE-2025-13486
CVE-2025-13486 — آسیبپذیری بحرانی RCE در افزونه WordPress Advanced Custom Fields: Extended
برای تغییر این متن بر روی دکمه ویرایش کلیک کنید. لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است.
WordPress Advanced Custom Fields: Extended
همه چیز در باره باگ
CVE-2025-13486 یک آسیبپذیری بحرانی (Critical) با امتیاز CVSS 9.8 در افزونه WordPress Advanced Custom Fields: Extended (ACF Extended) است که نسخههای 0.9.0.5 تا 0.9.1.1 را تحت تأثیر قرار میدهد. این نقص از نوع Remote Code Execution (اجرای کد از راه دور) بوده و به مهاجم بدون نیاز به احراز هویت امکان میدهد روی سرور کد دلخواه اجرا کند.
این نوع مشکل در دسته CWE-94 (کنترل ناقص تولید کد | Code Injection) طبقهبندی میشود که از مهمترین ضعفهای امنیتی در اجرای دینامیک کد به شمار میآید
پیامدهای امنیتی
در صورت سوءاستفاده موفق از CVE-2025-13486:
🔵 اجرای کد دلخواه روی سرور وب
🔵 دسترسی به پوسته (Shell) یا backdoor
🔵 ایجاد حساب کاربری ادمین جدید
🔵 تغییر/حذف محتوا و دادههای سایت
🔵 سرقت اطلاعات کاربران یا فایلهای حساس
🔵 پتانسیل استفاده در حملات زنجیرهای و
این موارد نشان میدهند که این نقص میتواند منجر به کنترل کامل سایت و حتی سرور میزبان شود.
شدت تهدید
این آسیبپذیری:
بدون نیاز به احراز هویت است
امکان اجرای کد از راه دور از اینترنت دارد
تاثیر مستقیم روی امنیت، در دسترس بودن و یکپارچگی سایت دارد
این عوامل باعث شده که CVE-2025-13486 در طبقه خطرناکترین ضعفهای امنیتی قرار بگیرد و فوراً باید اصلاح شود
shodan dorks
http.html:”wp-content/plugins/acf-extended”
fofa dorks
body=”wp-content/plugins/acf-extended”
محصولات یا نسخههای آسیبپذیر
Affected versions:
Advanced Custom Fields: Extended 0.9.0.5 تا 0.9.1.1
تعداد زیادی از سایتهای WordPress ممکن است این افزونه را نصب داشته باشند، که بدین ترتیب سطح حمله زیادی در دسترس است.