Komunita WordPressu opäť bije na poplach, pretože Dve zraniteľnosti v bežne používaných pluginoch čo by mohlo ohroziť bezpečnosť tisícov webových stránok. Jedna zo zraniteľností ovplyvňuje doplnok Anti-Malware Security a Brute-Force Firewall; druhá populárny balík King Addons pre Elementor.
V oboch prípadoch Aktualizácie sú teraz k dispozícii. A odborníci odporúčajú ich bezodkladnú inštaláciu. Dopad sa líši v závislosti od každého pluginu, ale majú spoločného menovateľa: útočníci by mohli získať neoprávnený prístup k serverovým zdrojom alebo prevziať kontrolu nad stránkou ak sa náplasti neaplikujú.
Zabezpečenie proti malvéru a firewall s hrubou silou: Čítanie súborov (CVE-2025-11705)
Bezpečnostný doplnok Anti-Malware s viac ako 100 000 inštaláciami trpí zraniteľnosťou sledovanou ako CVE-2025-11705 čo umožňuje overenému používateľovi, a to aj s profilom predplatiteľa, čítať súbory zo servera. Koreň problému spočíva vo vnútornej funkcii GOTMLS_ajax_scan()kde chýbalo primerané overenie schopností pri spracovaní požiadaviek AJAX.
Zraniteľnosť identifikoval výskumník. Dmitrij Ignatiev a nahlásené službe Wordfence Threat Intelligence. Kvôli správe tokenov (nonce) nedostatok kontroly povoleníAkýkoľvek účet s platným prihlasovacím menom by mohol spustiť skenovanie a získať prístup k citlivému obsahu.
Medzi najlákavejšie ciele patrí wp-config.phpTento súbor uchováva prihlasovacie údaje databázy a autentifikačné kľúče. S týmito informáciami by útočník mohol vykonať akcie, ako napríklad exfiltrovať dáta, manipulovať s obsahom alebo sa pokúsiť o nové kroky v rámci tej istej infraštruktúry.
Vývojár pluginu, známy ako Eli, vydala opravenú verziu 4.23.83, ktorá pridáva funkciu GOTMLS_kill_invalid_user() overiť možnosti pred spracovaním žiadostí. Wordfence uviedol, že zatiaľ Neboli pozorované žiadne aktívne útokyZverejnenie rozhodnutia však zvyšuje riziko zneužitia, ak nie je aktualizované.
- Október 14: oznámenie vývojárovi prostredníctvom bezpečnostného tímu WordPress.org.
- Október 15: Vydanie verzie 4.23.83 s vylepšenými ovládacími prvkami kapacity.
- Stiahnutia záplat: Aktualizovaných bolo približne 50 000 inštalácií; podobný objem by mohol zostať vystavený, ak sa oprava nepoužije.
Vektor útoku je obzvlášť dôležitý na stránkach s otvorená registrácia používateľov (fóra, členstvá, newslettery atď.), kde je vstupná bariéra pre vytváranie účtov s minimálnymi oprávneniami veľmi nízka.
Doplnky King pre Elementor: Nahrávanie súborov a eskalácia privilégií
Komerčný doplnok Doplnky kráľa —ktorý rozširuje Elementor o widgety a šablóny—predstavuje dve kritické nedostatky zdokumentované spoločnosťou Patchstack: ľubovoľné načítanie súborov bez overenia (CVE-2025-6327(závažnosť 10/10) a eskalácia privilégií prostredníctvom koncový bod registrácie (CVE-2025-6325, závažnosť 9,8/10).
Podľa upozornenia sú obe zraniteľnosti ľahko využiteľné v bežných konfiguráciách a môže viesť k úplnému prevzatiu kontroly nad stránkou alebo krádeži údajov. Výrobca zverejnil verziu 51.1.37, ktorý zavádza zoznam povolených rolí, sanitáciu vstupu a správcu načítania, ktorý vyžaduje príslušné povolenia a prísne platné typ súboru.
S viac ako 10 000 aktívnymi inštaláciami sa doplnky King Addons používajú na zrýchlenie návrhu stránok. Presne preto, nalepte náplasť čo najskôr Je to kľúčové pre zabránenie škodlivým aktérom v nahrávaní nebezpečných súborov alebo eskalácii privilégií na účty s väčším počtom oprávnení, než by mali mať.
Čo môže útočník dosiahnuť, ak nevykonáte aktualizáciu?
S opísanými nedostatkami by mohol protivník spojiť kroky od tiché čítanie informácií až po prevzatie kontroly nad stránkou vrátane. Prístup k konfiguráciám, databázam alebo adresárom nahraným používateľmi otvára množstvo možností.
- Krádež hashov hesiel a spúšťať offline útoky hrubou silou.
- Extrahovať osobné údaje (e-maily, profily) s možnými dôsledkami pre súkromie.
- Upravte vstupy alebo vložte kód šíriť spam alebo škodlivý softvér.
- Nainštalujte zadné dvere pretrvávať aj po čiastočnom čistení.
- Bočný pohyb v zdieľanom hostingu pre iné stránky na tom istom serveri.
Dopad a povinnosti v Španielsku a zvyšku EÚ
Pre správcov so sídlom v Španielsku alebo Európskej únii môže porušenie ochrany osobných údajov viesť k povinnostiam podľa RGPDvrátane posúdenia vplyvu a v prípade potreby oznámení orgánom a používateľom. Vnútorné politiky by sa mali preskúmať a denníky aktivít Ak existuje podozrenie na neoprávnený prístup a potvrďte, či je vaša stránka WordPress.org alebo WordPress.com.
Bez dramatizácie, ale s rozvahou, je rozumné uprednostniť lokality s registrácia účtu alebo súkromné oblasti, pretože požiadavka na overenie pri zlyhaní Anti-Malware je splnená s veľmi základnými profilmi na mnohých portáloch.
Odporúčané akcie pre administrátorov
Po prvé aktualizuje Anti-Malware na verziu 4.23.83 a King Addons na 51.1.37. Tento krok odreže známe vektory v koreňovom štádiu a okamžite redukuje povrch útoku.
- Zruší relácie a tokeny po oprave, najmä na stránkach s otvorenou registráciou.
- Denníky kontroly prístupu a nahrávania súborov pri hľadaní anomálnej aktivity.
- Sprísňuje povolenia používateľov a zakáže registráciu, ak nie je nevyhnutná.
- Obmedzuje vykonávanie v adresároch na nahrávanie a overovať typy MIME na serveri.
- zálohovanie overený a aktualizovaný plán reakcie na incidenty.
Okrem toho posudzuje monitorovacie riešenia (WAF, blokovacie zoznamy, upozornenia v reálnom čase) a politiky pre najmenšie privilégium pre administratívne účty a externé služby.
Statický obraz je jasný: s dostupnými záplatami, Najlepšou obranou je aktualizovať terazDôsledné konanie, kontrola záznamov a posilnenie kontrol môžu znamenať rozdiel medzi panikou a vážnejším incidentom.
