WordPress общността отново бие тревога, защото Две уязвимости в широко използвани плъгини което би могло да компрометира сигурността на хиляди уебсайтове. Една от уязвимостите засяга плъгина Anti-Malware Security и Brute-Force Firewall; другата - популярния пакет King Addons за Elementor.
И в двата случая, Актуализациите вече са налични. И експертите препоръчват инсталирането им без забавяне. Въздействието варира в зависимост от всеки плъгин, но те имат общ знаменател: нападателите биха могли да получат неоторизиран достъп до сървърни ресурси или поемете контрол над сайта ако пластирите не се поставят.
Защита срещу зловреден софтуер и защитна стена с груба сила: Четене на файлове (CVE-2025-11705)
Плъгинът за сигурност Anti-Malware, с над 100 000 инсталации, страда от уязвимост, проследявана като CVE-2025-11705 което позволява на удостоверен потребител, дори с абонатен профил, да чете файлове от сървъра. Коренът на проблема се крие във вътрешната функция GOTMLS_ajax_scan()където липсваше адекватна проверка на възможностите при обработката на AJAX заявки.
Уязвимостта е била идентифицирана от изследователя. Дмитрий Игнатиев и докладвано на Wordfence Threat Intelligence. Поради управлението на токени (nonce), липса на контрол на разрешениятаВсеки акаунт с валидни данни за вход може да задейства сканирането и да получи достъп до чувствително съдържание.
Сред най-примамливите цели е WP-config.phpТози файл съхранява идентификационни данни за базата данни и ключове за удостоверяване. С тази информация, нападателят може да извърши действия като ексфилтриране на данни, манипулиране на съдържание или да се опитат нови ходове в рамките на същата инфраструктура.
Разработчикът на плъгина, известен като Ели, пусна коригираната версия 4.23.83, която добавя функцията GOTMLS_kill_invalid_user() да провери възможностите преди обработка на заявки. Wordfence посочи, че засега Не са наблюдавани активни атакиПубликуването на решението обаче увеличава риска от злоупотреба, ако то не бъде актуализирано.
- Октомври 14: уведомление до разработчика чрез екипа по сигурността на WordPress.org.
- Октомври 15: Издаване на версия 4.23.83 с подобрени контроли на капацитета.
- Изтегляния на пачове: Приблизително 50 000 инсталации са актуализирани; подобен обем може да остане изложен на риск, ако корекцията не бъде приложена.
Векторът на атака е особено важен в сайтове с регистрацията на потребителите е отворена (форуми, членства, бюлетини и др.), където бариерата за влизане при създаване на акаунти с минимални разрешения е много ниска.
King Addons за Elementor: Качване на файлове и ескалация на привилегиите
Търговското допълнение Кралски добавки —който разширява Elementor с джаджи и шаблони — представя два критични недостатъка, документирани от Patchstack: произволно зареждане на файлове без удостоверяване (CVE-2025-6327(тежест 10/10) и ескалация на привилегиите чрез крайна точка на регистрация (CVE-2025-6325, тежест 9,8/10).
Според съобщението, и двете уязвимости са лесно използваем в обичайни конфигурации и може да доведе до пълно превземане на сайта или кражба на данни. Производителят публикува версията 51.1.37, който въвежда списък с разрешени роли, дезинфекция на входни данни и мениджър на зареждане, който изисква подходящи разрешения и строго валиден типа на файла.
С над 10 000 активни инсталации, King Addons се използва за ускоряване на дизайна на страници. Именно затова, поставете пластира възможно най-скоро Това е ключово за предотвратяване на качването на опасни файлове от злонамерени лица или ескалирането на привилегии на акаунти с повече разрешения, отколкото би трябвало да имат.
Какво може да постигне един нападател, ако не актуализирате?
С описаните недостатъци, противникът би могъл да свърже стъпки, вариращи от тихо четене на информация до и включително поемане на контрол над сайта. Достъпът до качени от потребителя конфигурации, бази данни или директории отваря редица възможности.
- Кражба на хешове на пароли и да стартират офлайн атаки с груба сила.
- Извличане на лични данни (имейли, профили) с възможни последици за поверителността.
- Промяна на входни данни или инжектиране на код за разпространение на спам или зловреден софтуер.
- Монтирайте задните врати да се запазят дори след частично почистване.
- Странично движение при споделен хостинг към други сайтове на същия сървър.
Въздействие и задължения в Испания и останалата част от ЕС
За администратори, базирани в Испания или Европейския съюз, нарушение на сигурността на личните данни може да доведе до задължения съгласно Бисквитки, включително оценка на въздействието и, където е уместно, уведомления до властите и потребителите. Вътрешните политики следва да бъдат преразгледани и дневници на активността Ако има съмнение за неоторизиран достъп и потвърдете дали вашият сайт е WordPress.org или WordPress.com.
Без да драматизираме, но с благоразумие, е разумно да се даде приоритет на сайтове с регистрация на акаунт или частни зони, тъй като изискването за удостоверяване при неуспеха на Anti-Malware е изпълнено с много основни профили на множество портали.
Препоръчителни действия за администраторите
Преди всичко актуализира Anti-Malware до версия 4.23.83 и King Addons на 51.1.37. Тази стъпка отрязва известните вектори в основата и незабавно намалява повърхността на атаката.
- Отменя сесии и токени след пача, особено на сайтове с отворена регистрация.
- Преглед на лог файловете на достъп и качване на файлове в търсене на аномална активност.
- Затяга разрешителните на потребителите и деактивира регистрацията, ако не е от съществено значение.
- Ограничава изпълнението в директориите за качване и валидиране на MIME типовете на сървъра.
- резервно копие проверен и актуализиран план за реагиране при инциденти.
Освен това, той оценява решенията за мониторинг (WAF, списъци с блокирани адреси, предупреждения в реално време) и политиките за най-малка привилегия за административни акаунти и външни услуги.
Неподвижното изображение е ясно: с наличните пластири, Най-добрата защита е да актуализирате сегаСтарателните действия, проверката на записите и засилването на контрола могат да направят разликата между страх и по-сериозен инцидент.
