WordPressi kogukond lööb taas häirekella, sest Kaks haavatavust laialdaselt kasutatavates pluginates mis võib ohustada tuhandete veebisaitide turvalisust. Üks haavatavustest mõjutab pahavaratõrje ja Brute-Force tulemüüri pistikprogrammi; teine populaarset Elementori King Addons paketti.
Mõlemal juhul Värskendused on nüüd saadaval. Ja eksperdid soovitavad need viivitamatult installida. Mõju on iga plugina puhul erinev, kuid neil on ühine nimetaja: ründajad võivad saada volitamata juurdepääsu serveri ressurssidele või saidi üle kontrolli haarama kui plaastreid ei paigaldata.
Pahavaravastane turvalisus ja brute-force tulemüür: failide lugemine (CVE-2025-11705)
Pahavaratõrje turvaplugin, millel on üle 100 000 installi, kannatab haavatavuse all, mida jälgitakse järgmiselt: CVE-2025-11705 mis võimaldab autentitud kasutajal, isegi tellijaprofiiliga, serverist faile lugeda. Probleemi juur peitub sisemises funktsioonis GOTMLS_ajax_scan()kus AJAX-päringute töötlemisel puudus piisav võimekuse kontroll.
Uurija tuvastas haavatavuse. Dmitri Ignatjev ja edastati Wordfence'i ohuluurele. Tänu märkide (mittekordsete) haldamisele lubade kontrolli puudumineIga kehtiva sisselogimisega konto saab skannimise käivitada ja tundlikule sisule juurde pääseda.
Kõige ahvatlevamate sihtmärkide hulgas on wp-config.phpSee fail salvestab andmebaasi volitusi ja autentimisvõtmeid. Selle teabe abil saab ründaja jätkata järgmiste toimingutega: andmeid välja filtreerida, sisuga manipuleerida või proovida uusi käike sama infrastruktuuri piires.
Pluginate arendaja, tuntud kui Eli, avaldas parandatud versiooni 4.23.83, mis lisab funktsiooni GOTMLS_kill_invalid_user() enne päringute töötlemist võimekust kontrollida. Wordfence märkis, et praegu Aktiivseid rünnakuid pole täheldatudOtsuse avaldamine suurendab aga ärakasutamise ohtu, kui seda ei ajakohastata.
- Oktoober 14: teavitades arendajat WordPress.org turvameeskonna kaudu.
- Oktoober 15: Versiooni 4.23.83 väljaandmine täiustatud mahutavuse kontrolliga.
- Paranduste allalaadimised: Ligikaudu 50 000 installi on uuendatud; sarnane maht võib jääda nähtavaks, kui parandust ei rakendata.
Rünnakuvektor on eriti oluline saitidel, kus kasutaja registreerimine avatud (foorumid, liikmelisused, uudiskirjad jne), kus minimaalsete õigustega kontode loomise barjäär on väga madal.
Elementori Kingi lisandmoodulid: failide üleslaadimine ja õiguste eskaleerimine
Kommertslik lisandmoodul Kuninga lisad —mis laiendab Elementorit vidinate ja mallidega— sisaldab kahte Patchstacki poolt dokumenteeritud kriitilist viga: suvaline failide laadimine ilma autentimiseta (CVE-2025-6327(tõsidusaste 10/10) ja privileegide eskaleerumine läbi registreerimise lõpp-punkt (CVE-2025-6325, raskusaste 9,8/10).
Nõuande kohaselt on mõlemad haavatavused kergesti kasutatav tavalistes konfiguratsioonides ja see võib viia saidi täieliku ülevõtmise või andmete varguseni. Tootja avaldas versiooni 51.1.37, mis tutvustab lubatud rollide loendit, sisendi puhastamist ja koormushaldurit, mis nõuab vastavaid õigusi ja rangelt kehtiv failitüüp.
Üle 10 000 aktiivse installiga King Addons'i kasutatakse lehe kujundamise kiirendamiseks. Just sel põhjusel plaaster tuleb paigaldada nii kiiresti kui võimalik See on võtmetähtsusega, et takistada pahatahtlikel isikutel ohtlike failide üleslaadimist või õiguste laiendamist kontodele, millel on rohkem õigusi, kui neil peaks olema.
Mida saab ründaja saavutada, kui te ei uuenda?
Kirjeldatud puuduste tõttu võiks vastane aheldada samme alates teabe vaikne lugemine kuni saidi üle kontrolli võtmiseni. Kasutaja üleslaaditud konfiguratsioonidele, andmebaasidele või kataloogidele juurdepääs avab hulga võimalusi.
- Paroolide räsi varastamine ja käivitada võrguühenduseta jõhkra jõu rünnakuid.
- Isikuandmete ekstraheerimine (e-kirjad, profiilid) koos võimalike privaatsusmõjudega.
- Muutke sisendeid või sisestage kood rämpsposti või pahavara levitamiseks.
- Paigaldage tagauksed püsima ka pärast osalist puhastamist.
- Külgmine liikumine jagatud majutuses teistele sama serveri saitidele.
Mõju ja kohustused Hispaanias ja ülejäänud ELis
Hispaanias või Euroopa Liidus asuvate administraatorite jaoks võib isikuandmete rikkumine kaasa tuua kohustusi vastavalt RGPD, sealhulgas mõjuhinnang ja vajaduse korral ametiasutustele ja kasutajatele teatamine. Sise-eeskirjad tuleks läbi vaadata ja tegevuslogid Kui kahtlustate volitamata juurdepääsu, kinnitage, kas teie sait on WordPress.org või WordPress.com.
Ilma dramaatilise lähenemiseta, kuid ettevaatlikult on mõistlik seada esikohale saidid, millel on konto registreerimine või privaatsetes piirkondades, kuna pahavaratõrje tõrke autentimisnõue täidetakse paljudes portaalides väga lihtsate profiilidega.
Administraatoritele soovitatavad toimingud
Esiteks uuendab pahavaratõrje versioonile 4.23.83 ja King Addons versioonis 51.1.37. See samm katkestab teadaolevad vektorid juba algfaasis ja vähendab koheselt rünnakupinda.
- Tühistab seansid ja tokenid pärast parandust, eriti avatud registreerimisega saitidel.
- Ülevaatuslogid juurdepääsu ja failide üleslaadimise kohta anomaalse tegevuse otsimiseks.
- Karmistab lube kasutajate registreerimise ja keelab registreerimise, kui see pole hädavajalik.
- Piirab täitmist üleslaadimiskataloogides ja valideeri serveris MIME tüüpe.
- Varundamine kontrollitud ja ajakohastatud intsidentidele reageerimise plaan.
Lisaks hindab see jälgimislahendusi (WAF, blokeeritud nimekirjad, reaalajas hoiatused) ja poliitikaid minimaalne privileeg halduskontode ja väliste teenuste jaoks.
Pilt on selge: plaastrid saadaval, Parim kaitse on kohe uuendadaHoolikas tegutsemine, andmete kontrollimine ja kontrollimeetmete tugevdamine võivad olla määravaks teguriks hirmu ja tõsisema intsidendi vahel.
