آسیب‌پذیری در قالب WordPress با نام Motors امکان تصاحب حساب کاربری مدیر را فراهم می‌کند.

سجاد تیموری 3 روز پیشآخرین بروزرسانی: خرداد ۴, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

آسیب‌پذیری در قالب WordPress با نام Motors امکان تصاحب حساب کاربری مدیر را فراهم می‌کند.

یک آسیب‌پذیری بحرانی از نوع ارتقاء سطح دسترسی (Privilege Escalation) در قالب پریمیوم وردپرس «Motors» شناسایی شده است که به مهاجمان ناشناس اجازه می‌دهد بدون نیاز به احراز هویت، حساب کاربری مدیر سایت را تصاحب کرده و کنترل کامل وب‌سایت را در اختیار بگیرند.

قالب «Motors» که توسط تیم StylemixThemes توسعه یافته، یکی از پرفروش‌ترین قالب‌های حوزه خودرو در بستر وردپرس محسوب می‌شود و محبوبیت بالایی در میان کسب‌وکارهای مرتبط با صنعت خودرو، از جمله نمایندگی‌های فروش خودرو، خدمات اجاره خودرو و پلتفرم‌های ثبت آگهی فروش خودروهای کارکرده دارد.

این قالب تاکنون بیش از ۲۲٬۳۰۰ بار در مارکت Envato به فروش رفته و با صدها نظر کاربران و هزاران کامنت، نشان از جامعه‌ای فعال و پرتعداد پیرامون آن دارد.

آسیب‌پذیری بحرانی در قالب وردپرس «Motors» امکان تصاحب حساب مدیر را فراهم می‌کند

امروز شرکت امنیتی Wordfence از کشف یک آسیب‌پذیری بحرانی در قالب پریمیوم وردپرس Motors خبر داد. این نقص امنیتی که با شناسه CVE-2025-4322 در پایگاه ملی آسیب‌پذیری‌ها (NVD) ثبت شده است، به مهاجمان غیرمجاز اجازه می‌دهد کنترل کامل وب‌سایت را از طریق تصاحب حساب‌های مدیر (Administrator) به‌دست آورند.

جزئیات فنی آسیب‌پذیری

این آسیب‌پذیری از نوع ارتقاء سطح دسترسی (Privilege Escalation) بوده و کلیه نسخه‌های قالب Motors تا و از جمله نسخه ۵٫۶٫۶۷ را تحت تأثیر قرار می‌دهد. به گفته Wordfence، دلیل اصلی بروز این مشکل آن است که قالب به‌درستی هویت کاربران را پیش از به‌روزرسانی گذرواژه آن‌ها اعتبارسنجی نمی‌کند. این نقص به مهاجمان اجازه می‌دهد تا بدون احراز هویت، گذرواژه هر کاربری – از جمله مدیران – را تغییر داده و به حساب آن‌ها دسترسی پیدا کنند.

پیامدهای امنیتی

با دسترسی به حساب مدیر، مهاجمان می‌توانند اقدامات مخربی نظیر نصب بدافزار، استخراج اطلاعات حساس و محتوای پایگاه‌داده، و هدایت بازدیدکنندگان به وب‌سایت‌های مخرب را انجام دهند. این سطح از دسترسی، کنترل کامل وب‌سایت را در اختیار مهاجم قرار می‌دهد.

وضعیت وصله و توصیه‌ها

توسعه‌دهنده این قالب، شرکت StylemixThemes، در تاریخ ۱۴ مه ۲۰۲۵ (May 14, 2025) نسخه‌ی ۵٫۶٫۶۸ را منتشر کرده است که آسیب‌پذیری CVE-2025-4322 را برطرف می‌کند. از آنجا که قالب‌ها جزء اصلی زیرساخت وردپرس محسوب می‌شوند و نمی‌توان آن‌ها را به‌سادگی غیرفعال یا جایگزین کرد، به‌روزرسانی فوری به نسخه جدید بسیار حیاتی است.

راهنمای جامع به‌روزرسانی قالب Motors از طریق پنل وردپرس، API انواتو (Envato API)، یا به‌صورت دستی از طریق FTP توسط توسعه‌دهنده در دسترس قرار دارد. همچنین توصیه می‌شود پیش از به‌روزرسانی، از وب‌سایت نسخه پشتیبان تهیه شود تا از هرگونه از دست رفتن اطلاعات جلوگیری گردد.

اهمیت موضوع

با وجود اینکه این نقص مربوط به افزونه‌ای با میلیون‌ها نصب فعال نیست، ولی ریسک قابل توجهی برای هزاران وب‌سایتی که از Motors استفاده می‌کنند ایجاد کرده است. این قالب با قیمت ۷۹ دلار برای لایسنس معمولی و ۲٬۰۰۰ دلار برای لایسنس گسترده، معمولاً توسط وب‌سایت‌های فعال یا کسب‌وکارهای واقعی مورد استفاده قرار می‌گیرد و آسیب‌پذیری در آن می‌تواند تبعات گسترده‌ای داشته باشد.