✔Защитный плагин для WordPress раскрывал личные данные пользователей - «Новости»

05 ноября 2025 16 Новости / Добавления стилей / Сайтостроение / Отступы и поля / Изображения / Вёрстка 0

Плагин Anti-Malware Security and Brute-Force Firewall предназначен для сканирования сайтов в поисках малвари, а также защиты от брутфорс-атак, эксплуатации известных багов в других плагинах и SQL-инъекций.

Уязвимость CVE-2025-11705 обнаружил исследователь Дмитрий Игнатьев, который сообщил о проблеме специалистам Wordfence через программу bug bounty. Проблема затрагивает версию 4.23.81 и более ранние.

Баг кроется в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — функция полагается только на nonce, который может узнать атакующий.

Из-за этого любой пользователь с минимальными привилегиями (например, обычный подписчик) может вызвать эту функцию и прочитать любой файл на сервере. Самая привлекательная цель для атакующих — конфигурационный файл wp-config.php, в котором хранятся имя базы данных и учетные данные для доступа к ней.

Получив доступ к БД, злоумышленник может извлечь: хеши паролей всех пользователей, email-адреса, содержимое постов (включая черновики), ключи и соли для безопасной аутентификации, а также другие приватные данные. Обладая такой информацией, можно скомпрометировать аккаунты администраторов, захватить полный контроль над уязвимым сайтом или использовать украденные данные для дальнейших атак.

Хотя официально проблема не считается критической (поскольку требует аутентификации), под угрозой находится любой сайт с установленным плагином, где пользователи могут создавать аккаунты с минимальными правами. Атакующему достаточно зарегистрироваться под любым именем и эксплуатировать баг.

Wordfence уведомила разработчиков о проблеме 14 октября 2025 года, и уже на следующий день, 15 октября, вышла версия плагина 4.23.83, которая устраняет проблему. Патч добавляет новую функцию GOTMLS_kill_invalid_user() для проверки прав пользователя перед выполнением чувствительных операций.

Согласно данным WordPress.org, с момента релиза патча его скачали примерно 50 000 администраторов. Это означает, что еще около 50 000 сайтов до сих пор работают с уязвимыми версиями плагина.

Исследователи пишут, что пока не наблюдали эксплуатацию CVE-2025-11705 в реальных атаках, однако публичное раскрытие информации о проблеме наверняка привлечет к ней внимание злоумышленников. Администраторам настоятельно рекомендуется как можно скорее обновить Anti-Malware Security and Brute-Force Firewall до версии 4.23.83.

В плагине Anti-Malware Security and Brute-Force Firewall для WordPress обнаружили уязвимость, которая позволяет пользователям с минимальными привилегиями читать произвольные файлы на сервере. Плагин установлен более чем на 100 000 сайтах, однако пока патч установлен только на половине из них. Плагин Anti-Malware Security and Brute-Force Firewall предназначен для сканирования сайтов в поисках малвари, а также защиты от брутфорс-атак, эксплуатации известных багов в других плагинах и SQL-инъекций. Уязвимость CVE-2025-11705 обнаружил исследователь Дмитрий Игнатьев, который сообщил о проблеме специалистам Wordfence через программу bug bounty. Проблема затрагивает версию 4.23.81 и более ранние. Баг кроется в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — функция полагается только на nonce, который может узнать атакующий. Из-за этого любой пользователь с минимальными привилегиями (например, обычный подписчик) может вызвать эту функцию и прочитать любой файл на сервере. Самая привлекательная цель для атакующих — конфигурационный файл wp-config.php, в котором хранятся имя базы данных и учетные данные для доступа к ней. Получив доступ к БД, злоумышленник может извлечь: хеши паролей всех пользователей, email-адреса, содержимое постов (включая черновики), ключи и соли для безопасной аутентификации, а также другие приватные данные. Обладая такой информацией, можно скомпрометировать аккаунты администраторов, захватить полный контроль над уязвимым сайтом или использовать украденные данные для дальнейших атак. Хотя официально проблема не считается критической (поскольку требует аутентификации), под угрозой находится любой сайт с установленным плагином, где пользователи могут создавать аккаунты с минимальными правами. Атакующему достаточно зарегистрироваться под любым именем и эксплуатировать баг. Wordfence уведомила разработчиков о проблеме 14 октября 2025 года, и уже на следующий день, 15 октября, вышла версия плагина 4.23.83, которая устраняет проблему. Патч добавляет новую функцию GOTMLS_kill_invalid_user() для проверки прав пользователя перед выполнением чувствительных операций. Согласно данным WordPress.org, с момента релиза патча его скачали примерно 50 000 администраторов. Это означает, что еще около 50 000 сайтов до сих пор работают с уязвимыми версиями плагина. Исследователи пишут, что пока не наблюдали эксплуатацию CVE-2025-11705 в реальных атаках, однако публичное раскрытие информации о проблеме наверняка привлечет к ней внимание злоумышленников. Администраторам настоятельно рекомендуется как можно скорее обновить Anti-Malware Security and Brute-Force Firewall до версии 4.23.83.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.