Społeczność WordPressa po raz kolejny bije na alarm, ponieważ Dwie luki w zabezpieczeniach powszechnie używanych wtyczek co może zagrozić bezpieczeństwu tysięcy stron internetowych. Jedna z luk dotyczy wtyczki Anti-Malware Security i Brute-Force Firewall, druga – popularnego pakietu King Addons dla Elementora.
W obu przypadkach, Aktualizacje są już dostępne. Eksperci zalecają ich bezzwłoczną instalację. Wpływ poszczególnych wtyczek jest różny, ale mają one wspólny mianownik: atakujący mogą uzyskać nieautoryzowany dostęp do zasobów serwera lub przejąć kontrolę nad witryną jeśli poprawki nie zostaną zastosowane.
Zabezpieczenia antywirusowe i zapora sieciowa typu brute-force: odczyt plików (CVE-2025-11705)
Wtyczka zabezpieczająca przed złośliwym oprogramowaniem, zainstalowana ponad 100 000 razy, jest podatna na lukę w zabezpieczeniach, którą monitoruje CVE-2025-11705 co pozwala uwierzytelnionemu użytkownikowi, nawet z profilem abonenta, na odczyt plików z serwera. Przyczyna problemu leży w funkcji wewnętrznej. GOTMLS_ajax_scan()w przypadku braku odpowiedniej weryfikacji możliwości podczas przetwarzania żądań AJAX.
Luka została zidentyfikowana przez badacza. Dmitrij Ignatyjew i zgłoszone do Wordfence Threat Intelligence. Ze względu na zarządzanie tokenami (nonce) brak kontroli uprawnieńKażde konto z prawidłowym loginem może zostać poddane skanowaniu i uzyskać dostęp do poufnych treści.
Wśród najbardziej kuszących celów znajduje się wp-config.phpW tym pliku przechowywane są dane uwierzytelniające bazy danych i klucze uwierzytelniające. Dzięki tym informacjom atakujący może podjąć działania takie jak: wydobywać dane i manipulować treścią lub próbować nowych ruchów w ramach tej samej infrastruktury.
Twórca wtyczki, znany jako Eliwydał poprawioną wersję 4.23.83, która dodaje funkcję GOTMLS_kill_invalid_user() w celu weryfikacji możliwości przed przetwarzaniem wniosków. Wordfence wskazał, że na razie Nie zaobserwowano żadnych aktywnych atakówJednak opublikowanie orzeczenia zwiększa ryzyko jego wykorzystania, jeżeli nie zostanie ono zaktualizowane.
- Październik 14: powiadomienie dewelopera za pośrednictwem zespołu ds. bezpieczeństwa WordPress.org.
- Październik 15: Wydanie wersji 4.23.83 z ulepszoną kontrolą pojemności.
- Pobieranie poprawek: zaktualizowano około 50 000 instalacji; podobna liczba luk może pozostać narażona, jeśli poprawka nie zostanie zastosowana.
Wektor ataku jest szczególnie istotny w witrynach z rejestracja użytkownika otwarta (fora, członkostwa, newslettery itp.), gdzie bariera wejścia w celu tworzenia kont z minimalnymi uprawnieniami jest bardzo niska.
Dodatki King dla Elementora: przesyłanie plików i eskalacja uprawnień
Dodatek komercyjny Dodatki królewskie —który rozszerza Elementora o widżety i szablony—ma dwie krytyczne wady udokumentowane przez Patchstack: ładowanie dowolnych plików bez uwierzytelnienia (CVE-2025-6327(stopień zagrożenia 10/10) i eskalacja uprawnień poprzez punkt końcowy rejestracji (CVE-2025-6325, stopień nasilenia 9,8/10).
Zgodnie z ostrzeżeniem obie luki są łatwo eksploatowalne w typowych konfiguracjach i może doprowadzić do całkowitego przejęcia witryny lub kradzieży danych. Producent opublikował wersję 51.1.37, który wprowadza listę dozwolonych ról, oczyszczanie danych wejściowych i menedżera obciążenia, który wymaga odpowiednich uprawnień i ściśle ważne typ pliku.
Z ponad 10 000 aktywnych instalacji, King Addons jest używany do przyspieszenia projektowania stron. Właśnie dlatego, zastosuj łatkę tak szybko, jak to możliwe Jest to kluczowe w zapobieganiu przesyłaniu niebezpiecznych plików przez osoby o złych zamiarach lub przyznawaniu większych uprawnień kontom, które mają więcej uprawnień, niż powinny mieć.
Co może osiągnąć atakujący, jeśli nie dokonasz aktualizacji?
Mając opisane wady, przeciwnik może łączyć ze sobą kroki począwszy od ciche czytanie informacji aż do przejęcia kontroli nad witryną włącznie. Dostęp do przesłanych przez użytkownika konfiguracji, baz danych lub katalogów otwiera szereg możliwości.
- Kradzież skrótów haseł i przeprowadzać ataki siłowe w trybie offline.
- Wyodrębnij dane osobowe (wiadomości e-mail, profile) mogące mieć potencjalne konsekwencje dla prywatności.
- Modyfikuj dane wejściowe lub wstrzykuj kod do rozpowszechniania spamu lub złośliwego oprogramowania.
- Zamontuj tylne drzwi utrzymują się nawet po częściowym czyszczeniu.
- Ruch boczny w hostingu współdzielonym do innych witryn na tym samym serwerze.
Wpływ i obowiązki w Hiszpanii i pozostałych krajach UE
W przypadku administratorów z siedzibą w Hiszpanii lub Unii Europejskiej naruszenie danych osobowych może skutkować obowiązkami wynikającymi z RGPD, w tym ocena wpływu i, w stosownych przypadkach, powiadomienia organów i użytkowników. Należy dokonać przeglądu polityk wewnętrznych i dzienniki aktywności Jeśli podejrzewasz nieautoryzowany dostęp, sprawdź, czy Twoja witryna jest WordPress.org lub WordPress.com.
Bez zbędnego dramatyzmu, ale z rozwagą, rozsądnie jest nadać priorytet witrynom z Rejestracja konta lub obszarów prywatnych, ponieważ wymagania uwierzytelniania w przypadku awarii oprogramowania antywirusowego są spełniane za pomocą bardzo podstawowych profili na wielu portalach.
Zalecane działania dla administratorów
Po pierwsze aktualizuje Anti-Malware do wersji 4.23.83 i King Addons w punkcie 51.1.37. Ten krok odcina znane wektory u źródła i natychmiast zmniejsza powierzchnię ataku.
- Odwołuje sesje i tokeny po wprowadzeniu poprawki, szczególnie na stronach z otwartą rejestracją.
- Przejrzyj dzienniki dostępu i przesyłania plików w poszukiwaniu nietypowej aktywności.
- Zaostrza pozwolenia użytkowników i wyłącza rejestrację, jeżeli nie jest ona niezbędna.
- Ogranicza wykonanie w katalogach przesyłania i sprawdza typy MIME na serwerze.
- Kopie zapasowe zweryfikowany i zaktualizowany plan reagowania na incydenty.
Ponadto ocenia rozwiązania monitorujące (WAF, listy blokowania, alerty w czasie rzeczywistym) i zasady dotyczące minimalne uprawnienia dla kont administracyjnych i usług zewnętrznych.
Obraz jest wyraźny: z dostępnymi łatkami, Najlepszą obroną jest aktualizacja już terazStaranna reakcja, sprawdzanie dokumentacji i wzmocnienie kontroli mogą zadecydować o tym, czy sytuacja stanie się groźniejsza, czy dojdzie do poważniejszego incydentu.
