آسیبپذیری CVE-2025-15001 با امتیاز 9.8 (Critical) بر اساس استاندارد CVSS v3.1 در افزونه FS Registration Password وردپرس شناسایی شده است. این آسیبپذیری از نوع ارتقای سطح دسترسی (Privilege Escalation) از طریق تصاحب حساب کاربری (Account Takeover) بوده و ناشی از اعتبارسنجی نادرست هویت کاربر پیش از تغییر رمز عبور است. این ضعف امنیتی باعث میشود مهاجم بدون نیاز به احراز هویت (Unauthenticated) بتواند رمز عبور هر کاربر، از جمله مدیر (Administrator)، را تغییر داده و کنترل کامل حساب را در اختیار بگیرد.
پس از تصاحب حساب مدیر، مهاجم قادر خواهد بود به پنل مدیریت وردپرس وارد شده و اقدامات مخربی از جمله موارد زیر را انجام دهد:
نصب افزونهها یا قالبهای آلوده و ایجاد درب پشتی (Backdoor)
بارگذاری و اجرای کدهای مخرب (Remote Code Execution از طریق افزونههای نصبشده)
تغییر یا حذف محتوای وبسایت
ایجاد یا حذف کاربران مدیریتی
سرقت اطلاعات کاربران و پایگاه داده
هدایت کاربران به صفحات فیشینگ یا توزیع بدافزار
تخریب کامل وبسایت یا استفاده از آن برای حملات بعدی
بردار حمله این آسیبپذیری AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H است؛ به این معنا که بهرهبرداری از آن از طریق شبکه، بدون نیاز به احراز هویت یا تعامل کاربر و با پیچیدگی پایین امکانپذیر بوده و میتواند محرمانگی، یکپارچگی و دسترسپذیری سامانه را بهشدت تحت تأثیر قرار دهد. همچنین این آسیبپذیری تحت CWE-639 (Authorization Bypass Through User-Controlled Key) دستهبندی شده است.
محصولات تحت تأثیر
FS Registration Password
تمام نسخهها تا و شامل نسخه 1.0.1