کشف آسیب‌پذیری در Roi Calculator

تاریخ ایجاد 1403/11/07

یک آسیب‌پذیری با شناسهCVE-2025-24756 و شدت 7.1 در افزونه Roi Calculator  برای وردپرس کشف شده است. این نقص امنیتی به دلیل وجود آسیب‌پذیری Cross-Site Request Forgery (CSRF)، امکان اجرای حملاتStored Cross-Site Scripting (XSS) را فراهم می‌کند. مهاجم می‌تواند با فریب کاربر با کلیک بر روی لینک یا بازدید از صفحه‌ای خاص، اسکریپت‌های مخرب را در سیستم کاربر اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L بهره‌برداری از آن از راه دور و با پیچیدگی کم قابل تکرار است (AV:N/AC:L)، این حمله بدون نیاز به سطح دسترسی و با تایید کاربر انجام می‌شود (PR:N/UI:R)، با بهره‌برداری ازاین آسیب‌پذیری، سه ضلع امنیت به میزان کمی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:L).
 

محصولات تحت تأثیر

این آسیب‌پذیری نسخه‌های 1.0 و قبل تر افزونه Roi Calculator را تحت تاثیر قرارداده است.
 

توصیه امنیتی

به کاربران توصیه می‌شود در اسرع وقت افزونه Roi Calculator را به نسخه 1.1 ارتقاء دهند.


منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2025-24756

https://patchstack.com/database/wordpress/plugin/roi-calculator/vulnerability/wordpress-roi-calculator-plugin-1-0-csrf-to-stored-xss-vulnerability?_s_id=cve