آسیب‌پذیری بحرانی CVE-2025-15001 در افزونه FS Registration Password وردپرس

آسیب‌پذیری CVE-2025-15001 با امتیاز 9.8 (Critical) بر اساس استاندارد CVSS v3.1 در افزونه FS Registration Password وردپرس شناسایی شده است. این آسیب‌پذیری از نوع ارتقای سطح دسترسی (Privilege Escalation) از طریق تصاحب حساب کاربری (Account Takeover) بوده و ناشی از اعتبارسنجی نادرست هویت کاربر پیش از تغییر رمز عبور است. این ضعف امنیتی باعث می‌شود مهاجم بدون نیاز به احراز هویت (Unauthenticated) بتواند رمز عبور هر کاربر، از جمله مدیر (Administrator)، را تغییر داده و کنترل کامل حساب را در اختیار بگیرد.

پس از تصاحب حساب مدیر، مهاجم قادر خواهد بود به پنل مدیریت وردپرس وارد شده و اقدامات مخربی از جمله موارد زیر را انجام دهد:

نصب افزونه‌ها یا قالب‌های آلوده و ایجاد درب پشتی (Backdoor)
بارگذاری و اجرای کدهای مخرب (Remote Code Execution از طریق افزونه‌های نصب‌شده)
تغییر یا حذف محتوای وب‌سایت
ایجاد یا حذف کاربران مدیریتی
سرقت اطلاعات کاربران و پایگاه داده
هدایت کاربران به صفحات فیشینگ یا توزیع بدافزار
تخریب کامل وب‌سایت یا استفاده از آن برای حملات بعدی

بردار حمله این آسیب‌پذیری AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H است؛ به این معنا که بهره‌برداری از آن از طریق شبکه، بدون نیاز به احراز هویت یا تعامل کاربر و با پیچیدگی پایین امکان‌پذیر بوده و می‌تواند محرمانگی، یکپارچگی و دسترس‌پذیری سامانه را به‌شدت تحت تأثیر قرار دهد. همچنین این آسیب‌پذیری تحت CWE-639 (Authorization Bypass Through User-Controlled Key) دسته‌بندی شده است.

محصولات تحت تأثیر
FS Registration Password
تمام نسخه‌ها تا و شامل نسخه 1.0.1