خطر هک وبسایت‌های وردپرسی؛ جزئیات باگ‌های بحرانی در افزونه‌های King Addons و ACF

نفوذ از طریق ثبت‌نام: جزئیات نقص امنیتی افزونه King Addons

طبق تحقیقات پیتر تالیکیس (Peter Thaleikis)، محقق امنیتی، آسیب‌پذیری شناسایی شده با شناسه CVE-2025–8489 دارای شدت بحرانی (critical) است. این باگ در سیستم مدیریت ثبت‌نام افزونه King Addons نهفته است؛ جایی که هیچ محدودیتی برای تعیین نقش کاربری (User Role) وجود ندارد.

این نقص به هر کاربر مهمان اجازه می‌دهد تا در فرآیند ثبت‌نام، نقش خود را به عنوان مدیر کل (Administrator) تعریف کند. تیم Wordfence در تحلیل‌های فنی خود تشریح کرده است که هکرها با ارسال یک درخواست دستکاری شده به فایل admin-ajax.php و تنظیم پارامتر user_role=administrator، بدون نیاز به هیچ‌گونه احراز هویت قبلی، دسترسی کامل مدیریتی به سایت قربانی پیدا می‌کنند.

فعالیت‌های مخرب تنها یک روز پس از افشای عمومی این باگ در 31 اکتبر 2025 آغاز شد. سیستم‌های تله‌گذاری و اسکنر Wordfence تاکنون بیش از 48,400 تلاش برای اکسپلویت را مسدود کرده‌اند.

موج حملات و آدرس‌های IP مشکوک

داده‌های تلمتری نشان می‌دهد که اوج حملات در روزهای 9 و 10 نوامبر 2025 رخ داده است. کارشناسان امنیت سایبری هشدار داده‌اند که مدیران سرور باید لاگ‌فایل‌های خود را برای یافتن فعالیت‌های مشکوک از دو آدرس IP زیر بررسی کنند:

• 45.61.157.120 (مسئول بیش از 28,900 حمله)
• 2602:fa59:3:424::1 (مسئول بیش از 16,900 حمله)

اگر از افزونه King Addons استفاده می‌کنید (که روی بیش از 10,000 سایت فعال است)، بلافاصله آن را به نسخه 51.1.35 که در 25 سپتامبر 2025 برای رفع این حفره منتشر شده، به‌روزرسانی کنید. وجود اکانت‌های ادمین ناشناس در لیست کاربران، نشانه قطعی هک شدن سایت شماست.

خطر دوم: اجرای کد از راه دور در افزونه Advanced Custom Fields: Extended

علاوه بر بحران المنتور، گزارش‌های واصله از CERT لهستان (تیم واکنش اضطراری رایانه‌ای ملی) نگرانی‌های جدیدی را برانگیخته است. مارسین دودک (Marcin Dudek)، محقق این مرکز، از کشف یک حفره امنیتی دیگر با شناسه CVE-2025-13486 در افزونه پرنصب ACF: Extended خبر داده است.

این افزونه که روی بیش از 100,000 وب‌سایت فعال است، دارای نقصی در تابع call_user_func_array() است که ورودی‌های کاربر را بدون اعتبارسنجی دقیق پردازش می‌کند.

این آسیب‌پذیری از نوع RCE (اجرای کد از راه دور) است. به زبان ساده، یک مهاجم احراز هویت نشده می‌تواند کدهای مخرب PHP را روی سرور اجرا کند. این سطح از دسترسی معمولاً برای موارد زیر استفاده می‌شود:

• تزریق بدافزار برای دسترسی‌های آتی.
• ایجاد حساب‌های کاربری مخفی با سطح دسترسی مدیریت.
• سرقت داده‌های حساس کاربران.

وضعیت پچ امنیتی

توسعه‌دهندگان افزونه ACF: Extended واکنش سریعی نشان داده و تنها یک روز پس از دریافت گزارش در 18 نوامبر، نسخه اصلاح‌شده 0.9.2 را منتشر کردند. با توجه به اینکه بهره‌برداری از این باگ نیازی به نام کاربری و رمز عبور ندارد، کارشناسان پیش‌بینی می‌کنند که پس از انتشار عمومی جزئیات فنی، موج جدیدی از حملات خودکار (Botnet) علیه سایت‌های به‌روزرسانی نشده آغاز شود.

پیشنهاد زیشاوب برای مدیران وبسایت‌های وردپرسی

امنیت در فضای وردپرس یک فرآیند ایستا نیست. با توجه به اینکه پلاگین‌های جانبی (Add-ons) اغلب کدنویسی ضعیف‌تری نسبت به هسته اصلی وردپرس دارند:

1. همین حالا به بخش «افزونه‌ها» در پیشخوان وردپرس بروید.
2. افزونه King Addons را به نسخه 51.1.35 و ACF: Extended را به نسخه 0.9.2 ارتقا دهید.
3. بخش «کاربران» (Users) را چک کنید و هرگونه مدیر ناشناس را حذف کنید.

منبع

Critical flaw in WordPress add-on for Elementor exploited in attacks