دو آسیبپذیری خطرناک در وردپرس کشف شد؛ کاربران هرچه سریعتر سایت خود را بهروزرسانی کنند
وردپرس دو آسیبپذیری امنیتی خطرناک با شناسههای CVE-2026-60137 و CVE-2026-63030 را برطرف کرد. نسخههای آسیبپذیر و راهکارهای بهروزرسانی را بخوانید.
تیم توسعه وردپرس از انتشار یک بهروزرسانی امنیتی مهم خبر داده است که دو آسیبپذیری با شدت بالا را برطرف میکند. این نقصهای امنیتی که با شناسههای CVE-2026-60137 و CVE-2026-63030 ثبت شدهاند، میتوانند امنیت میلیونها وبسایت مبتنی بر وردپرس را در معرض خطر قرار دهند. کارشناسان امنیت سایبری به مدیران وبسایتها توصیه کردهاند در سریعترین زمان ممکن نسخه وردپرس خود را بهروزرسانی کنند.
جزئیات آسیبپذیریهای جدید وردپرس
بر اساس اعلام تیم امنیتی وردپرس، نخستین آسیبپذیری با شناسه CVE-2026-60137 مربوط به یک نقص تزریق SQL (SQL Injection) است که توسط پژوهشگران امنیتی TF1T، dtro و haongo شناسایی و گزارش شده است. مهاجمان در برخی شرایط میتوانند از این ضعف برای دسترسی غیرمجاز به اطلاعات پایگاه داده یا اجرای دستورات مخرب استفاده کنند.
دومین آسیبپذیری با شناسه CVE-2026-63030 از اهمیت بیشتری برخوردار است. این نقص از ترکیب یک مشکل در REST API و آسیبپذیری تزریق SQL ایجاد شده و در شرایط خاص میتواند به اجرای کد از راه دور (Remote Code Execution یا RCE) منجر شود. چنین حملهای این امکان را به مهاجم میدهد که کنترل کامل وبسایت را در اختیار بگیرد و کدهای مخرب روی سرور اجرا کند.
کدام نسخههای وردپرس آسیبپذیر هستند؟
بررسیهای انجامشده نشان میدهد نسخه 6.9 وردپرس در برابر هر دو آسیبپذیری آسیبپذیر است و برای رفع این مشکلات نسخه 6.9.5 منتشر شده است.
همچنین نسخه 6.8 تنها تحت تأثیر آسیبپذیری نخست قرار دارد و کاربران باید سایت خود را به نسخه 6.8.6 ارتقا دهند.
نسخه آزمایشی WordPress 7.1 Beta نیز شامل هر دو آسیبپذیری بوده و توسعهدهندگان با انتشار Beta 2 این مشکلات را برطرف کردهاند. طبق اعلام تیم وردپرس، نسخههای قدیمیتر از 6.8 تحت تأثیر این دو نقص امنیتی قرار ندارند.
اگر امکان بهروزرسانی ندارید چه باید کرد؟
پژوهشگران امنیتی Searchlight Cyber اعلام کردهاند در صورتی که امکان نصب فوری نسخه جدید وجود ندارد، مدیران وبسایتها میتوانند بهصورت موقت دسترسی ناشناس به Batch API را مسدود کنند.
این کار از طریق نصب افزونههایی که دسترسی عمومی به REST API را غیرفعال میکنند یا مسدود کردن مسیرهای /wp-json/batch/v1 و ?rest_route=/batch/v1 در سطح فایروال برنامههای وب (WAF) امکانپذیر است.
البته کارشناسان تأکید میکنند این اقدامات تنها راهکارهای موقتی هستند و ممکن است برخی قابلیتهای عادی وبسایت را نیز تحت تأثیر قرار دهند. بنابراین بهترین راهکار، نصب نسخههای امنیتی جدید وردپرس در اولین فرصت است.
توصیه به مدیران وبسایتها
وردپرس محبوبترین سیستم مدیریت محتوای جهان است و میلیونها وبسایت از آن استفاده میکنند. به همین دلیل، هر آسیبپذیری امنیتی در این پلتفرم میتواند به هدفی جذاب برای مهاجمان سایبری تبدیل شود. کارشناسان امنیت توصیه میکنند علاوه بر بهروزرسانی هسته وردپرس، افزونهها و قالبهای نصبشده نیز همواره به آخرین نسخه ارتقا داده شوند. همچنین استفاده از فایروال، تهیه نسخه پشتیبان منظم و فعالسازی احراز هویت دومرحلهای میتواند نقش مهمی در افزایش امنیت وبسایتها داشته باشد.
با توجه به شدت این آسیبپذیریها و احتمال سوءاستفاده مهاجمان، مدیران وبسایتها نباید بهروزرسانی امنیتی جدید وردپرس را به تعویق بیندازند. نصب نسخههای اصلاحشده در کوتاهترین زمان، مؤثرترین راه برای جلوگیری از حملات احتمالی و حفظ امنیت اطلاعات کاربران خواهد بود.