مشاهده توییت های دیگر

آسیب‌پذیری جدید (CVE-2025-14000) در پلاگین Restrict Content نشون می‌ده که هنوز چقدر راحت می‌شه با Shortcodeها بازی کرد. مشکل دقیقا از عدم Sanitization و Output Escaping توی اتریبیوت‌های register_form و restrict میاد.

وقتی یک کاربر با سطح دسترسی Contributor بتونه اسکریپت مخرب تزریق کنه و اون اسکریپت توی دیتابیس ذخیره بشه (Stored XSS)، یعنی امنیت کل پلتفرم و بقیه کاربرها عملا روی هواست. برخلاف ریپورت‌های نمایشی، این یکی با CVSS 6.4 واقعا می‌تونه توی سناریوهای واقعی خطرناک باشه.

در پروژه‌هایی که Scale بالایی دارن و چندین نویسنده یا محتواگذار در پنل فعالیت می‌کنن، این یعنی فاجعه. درواقع اتکر نیازی به دسترسی ادمین نداره؛ کافیه فقط یک پیش‌نویس (Draft) شامل شورت‌کد آلوده بسازه. به محض اینکه ادمین برای بررسی محتوا وارد صفحه بشه، اسکریپت اجرا شده و احتمالا Session Cookie ادمین به سرور اتکر ارسال می‌شه.

توی دنیای واقعی، امنیت یعنی فرض بر این باشه که هر ورودی، حتی از سمت کاربر معتمد، پتانسیل تخریب داره. اگه از این پلاگین استفاده می‌کنید، سریع‌تر به نسخه 3.2.16 آپدیت کنید.