لوگوی زیشا وب
خطر هک وبسایت‌های وردپرسی؛ جزئیات باگ‌های بحرانی در افزونه‌های King Addons و ACF

خطر هک وبسایت‌های وردپرسی؛ جزئیات باگ‌های بحرانی در افزونه‌های King Addons و ACF

موج جدیدی از حملات سایبری، هزاران وب‌سایت وردپرسی را هدف قرار داده است. گزارش‌های دریافتی از تیم تهدیدات سایبری Wordfence (زیرمجموعه شرکت امنیتی Defiant) حاکی از آن است که مهاجمان با بهره‌گیری از یک آسیب‌پذیری حیاتی در یکی از افزونه‌های‌ جانبی صفحه‌ساز المنتور و همچنین افزونه ACF، در حال تسخیر کامل وب‌سایت‌ها هستند.

در اکوسیستم وردپرس، امنیت افزونه‌های شخص ثالث همواره پاشنه آشیل مدیران سایت‌ها بوده است و این بار، افزونه King Addons و ACF دروازه ورود هکران شده است.

فهرست مطالب

نفوذ از طریق ثبت‌نام: جزئیات نقص امنیتی افزونه King Addons

طبق تحقیقات پیتر تالیکیس (Peter Thaleikis)، محقق امنیتی، آسیب‌پذیری شناسایی شده با شناسه CVE-2025–8489 دارای شدت بحرانی (critical) است. این باگ در سیستم مدیریت ثبت‌نام افزونه King Addons نهفته است؛ جایی که هیچ محدودیتی برای تعیین نقش کاربری (User Role) وجود ندارد.

این نقص به هر کاربر مهمان اجازه می‌دهد تا در فرآیند ثبت‌نام، نقش خود را به عنوان مدیر کل (Administrator) تعریف کند. تیم Wordfence در تحلیل‌های فنی خود تشریح کرده است که هکرها با ارسال یک درخواست دستکاری شده به فایل admin-ajax.php و تنظیم پارامتر user_role=administrator، بدون نیاز به هیچ‌گونه احراز هویت قبلی، دسترسی کامل مدیریتی به سایت قربانی پیدا می‌کنند.

فعالیت‌های مخرب تنها یک روز پس از افشای عمومی این باگ در 31 اکتبر 2025 آغاز شد. سیستم‌های تله‌گذاری و اسکنر Wordfence تاکنون بیش از 48,400 تلاش برای اکسپلویت را مسدود کرده‌اند.

موج حملات و آدرس‌های IP مشکوک

داده‌های تلمتری نشان می‌دهد که اوج حملات در روزهای 9 و 10 نوامبر 2025 رخ داده است. کارشناسان امنیت سایبری هشدار داده‌اند که مدیران سرور باید لاگ‌فایل‌های خود را برای یافتن فعالیت‌های مشکوک از دو آدرس IP زیر بررسی کنند:

  • 45.61.157.120 (مسئول بیش از 28,900 حمله)
  • 2602:fa59:3:424::1 (مسئول بیش از 16,900 حمله)

اگر از افزونه King Addons استفاده می‌کنید (که روی بیش از 10,000 سایت فعال است)، بلافاصله آن را به نسخه 51.1.35 که در 25 سپتامبر 2025 برای رفع این حفره منتشر شده، به‌روزرسانی کنید. وجود اکانت‌های ادمین ناشناس در لیست کاربران، نشانه قطعی هک شدن سایت شماست.

خطر دوم: اجرای کد از راه دور در افزونه Advanced Custom Fields: Extended

علاوه بر بحران المنتور، گزارش‌های واصله از CERT لهستان (تیم واکنش اضطراری رایانه‌ای ملی) نگرانی‌های جدیدی را برانگیخته است. مارسین دودک (Marcin Dudek)، محقق این مرکز، از کشف یک حفره امنیتی دیگر با شناسه CVE-2025-13486 در افزونه پرنصب ACF: Extended خبر داده است.

این افزونه که روی بیش از 100,000 وب‌سایت فعال است، دارای نقصی در تابع call_user_func_array() است که ورودی‌های کاربر را بدون اعتبارسنجی دقیق پردازش می‌کند.

این آسیب‌پذیری از نوع RCE (اجرای کد از راه دور) است. به زبان ساده، یک مهاجم احراز هویت نشده می‌تواند کدهای مخرب PHP را روی سرور اجرا کند. این سطح از دسترسی معمولاً برای موارد زیر استفاده می‌شود:

  • تزریق بدافزار برای دسترسی‌های آتی.
  • ایجاد حساب‌های کاربری مخفی با سطح دسترسی مدیریت.
  • سرقت داده‌های حساس کاربران.

وضعیت پچ امنیتی

توسعه‌دهندگان افزونه ACF: Extended واکنش سریعی نشان داده و تنها یک روز پس از دریافت گزارش در 18 نوامبر، نسخه اصلاح‌شده 0.9.2 را منتشر کردند. با توجه به اینکه بهره‌برداری از این باگ نیازی به نام کاربری و رمز عبور ندارد، کارشناسان پیش‌بینی می‌کنند که پس از انتشار عمومی جزئیات فنی، موج جدیدی از حملات خودکار (Botnet) علیه سایت‌های به‌روزرسانی نشده آغاز شود.

پیشنهاد زیشاوب برای مدیران وبسایت‌های وردپرسی

امنیت در فضای وردپرس یک فرآیند ایستا نیست. با توجه به اینکه پلاگین‌های جانبی (Add-ons) اغلب کدنویسی ضعیف‌تری نسبت به هسته اصلی وردپرس دارند:

  1. همین حالا به بخش «افزونه‌ها» در پیشخوان وردپرس بروید.
  2. افزونه King Addons را به نسخه 51.1.35 و ACF: Extended را به نسخه 0.9.2 ارتقا دهید.
  3. بخش «کاربران» (Users) را چک کنید و هرگونه مدیر ناشناس را حذف کنید.

منبع

Critical flaw in WordPress add-on for Elementor exploited in attacks

5/5 - (3 امتیاز)

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *