Сообщество WordPress снова бьет тревогу, потому что Две уязвимости в широко используемых плагинах Это может поставить под угрозу безопасность тысяч веб-сайтов. Одна из уязвимостей затрагивает плагин Anti-Malware Security и Brute-Force Firewall, а другая — популярный пакет King Addons для Elementor.
В обоих случаях Обновления уже доступны. Эксперты рекомендуют установить их без промедления. Последствия зависят от каждого плагина, но их объединяет общая проблема: злоумышленники могут получить несанкционированный доступ к ресурсам сервера или взять под контроль сайт если не будут применены исправления.
Защита от вредоносных программ и брутфорс-брандмауэр: чтение файлов (CVE-2025-11705)
Плагин безопасности Anti-Malware, имеющий более 100 000 установок, подвержен уязвимости, отслеживаемой как CVE-2025-11705 что позволяет аутентифицированному пользователю, даже с профилем подписчика, читать файлы с сервера. Корень проблемы кроется во внутренней функции GOTMLS_ajax_scan()где отсутствовала адекватная проверка возможностей при обработке запросов AJAX.
Уязвимость была выявлена исследователем. Дмитрий Игнатьев и сообщили об этом в Wordfence Threat Intelligence. Благодаря управлению токенами (одноразовыми) отсутствие контроля разрешенийЛюбая учетная запись с действительным логином может запустить сканирование и получить доступ к конфиденциальному контенту.
Среди наиболее заманчивых целей – WP-config.phpВ этом файле хранятся учётные данные базы данных и ключи аутентификации. Используя эту информацию, злоумышленник может выполнить такие действия, как: извлекать данные, манипулировать контентом или попытаться сделать новые шаги в рамках той же инфраструктуры.
Разработчик плагина, известный как Эли, выпустила исправленную версию 4.23.83, которая добавляет функцию GOTMLS_kill_invalid_user() для проверки возможностей перед обработкой запросов. Wordfence указал, что на данный момент Активных атак не наблюдалось.Однако публикация решения увеличивает риск его эксплуатации, если оно не будет обновлено.
- 14 октября: уведомление разработчика через службу безопасности WordPress.org.
- 15 октября: Выпуск версии 4.23.83 с улучшенным контролем емкости.
- Загрузки патчей: Было обновлено около 50 000 установок; аналогичный объем может остаться уязвимым, если исправление не будет применено.
Вектор атаки особенно актуален на сайтах с регистрация пользователей открыта (форумы, членство, рассылки и т. д.), где барьер для создания учетных записей с минимальными правами доступа очень низок.
Дополнения King для Elementor: загрузка файлов и повышение привилегий
Коммерческое дополнение Король Аддонов —который расширяет Elementor виджетами и шаблонами — имеет два критических недостатка, задокументированных Patchstack: произвольная загрузка файлов без аутентификации (CVE-2025-6327(уровень серьезности 10/10) и эскалация привилегий через конечная точка регистрации (CVE-2025-6325, степень тяжести 9,8/10).
Согласно рекомендациям, обе уязвимости являются легко эксплуатируется в обычных конфигурациях и может привести к полному захвату сайта или краже данных. Производитель опубликовал версию 51.1.37, который представляет список разрешенных ролей, очистку входных данных и менеджер загрузки, требующий соответствующих разрешений и строго действителен тип файла.
King Addons используется для ускорения разработки страниц, и его уже установили более 10 000 раз. Именно поэтому наклеить патч как можно скорее Это ключ к предотвращению загрузки злоумышленниками опасных файлов или предоставления им более широких прав доступа, чем им положено.
Чего может добиться злоумышленник, если вы не обновитесь?
Используя описанные недостатки, противник может объединить в цепочку шаги, начиная с молчаливое чтение информации вплоть до получения контроля над сайтом. Доступ к загруженным пользователями конфигурациям, базам данных и каталогам открывает целый ряд возможностей.
- Кража хешей паролей и запускать атаки методом подбора паролей в автономном режиме.
- Извлечение персональных данных (электронные письма, профили) с возможными последствиями для конфиденциальности.
- Измените входные данные или введите код для распространения спама или вредоносного ПО.
- Установить задние двери сохраняться даже после частичной очистки.
- Боковое движение в общем хостинге для других сайтов на том же сервере.
Влияние и обязательства в Испании и остальных странах ЕС
Для администраторов, находящихся в Испании или Европейском Союзе, утечка персональных данных может повлечь за собой обязательства в соответствии с RGPD, включая оценку воздействия и, при необходимости, уведомления органов власти и пользователей. Внутренние политики должны быть пересмотрены и журналы активности Если есть подозрение на несанкционированный доступ, и проверьте, защищен ли ваш сайт WordPress.org или WordPress.com.
Не впадая в драматизм, но с осторожностью, разумно отдать приоритет сайтам с регистрация аккаунта или частные области, поскольку требование аутентификации при отказе Anti-Malware выполняется с помощью очень простых профилей на многочисленных порталах.
Рекомендуемые действия для администраторов
Прежде всего Обновление Anti-Malware до версии 4.23.83 и King Addons в версии 51.1.37. Этот шаг отсекает известные векторы на корню и мгновенно уменьшает поверхность атаки.
- Отменяет сеансы и жетоны после патча, особенно на сайтах с открытой регистрацией.
- Просмотр журналов доступа и загрузки файлов в поисках аномальной активности.
- Ужесточает требования к разрешениям пользователей и отключает регистрацию, если она не является необходимой.
- Ограничивает исполнение в каталогах загрузки и проверяйте типы MIME на сервере.
- резервная копия проверенный и обновленный план реагирования на инциденты.
Кроме того, он оценивает решения для мониторинга (WAF, списки блокировки, оповещения в режиме реального времени) и политики для минимальная привилегия для административных счетов и внешних служб.
Изображение четкое: с доступными заплатками, Лучшая защита — обновиться сейчас.Тщательные действия, проверка записей и ужесточение контроля могут стать решающим фактором в предотвращении более серьезного инцидента.
