Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Додатокот за безбедност на WordPress ги открива приватните податоци на претплатниците на страницата

Објавено: 30.10.2025

Плагинот Anti-Malware Security and Brute-Force Firewall за WordPress, инсталиран на повеќе од 100.000 сајтови, има ранливост која им овозможува на претплатниците да читаат било која датотека на серверот, со што потенцијално се откриваат приватни информации.

Плагинот обезбедува скенирање за малвер и заштита од brute-force напади, злоупотреба на познати недостатоци на плагини и обиди за инјектирање во базата на податоци.

Идентификуван како CVE-2025-11705, ранливоста била пријавена на Wordfence од истражувачот Дмитриј Игнатјев и влијае на верзии на плагинот 4.23.81 и претходните.
Проблемот произлегува од недостасување проверки на привилегии во функцијата GOTMLS_ajax_scan(), која обработува AJAX барања користејќи nonce што напаѓачите би можеле да го добијат.

Овој пропуст им дозволува на корисници со ниски привилегии, кои можат да ја повикаат функцијата, да читаат произволни датотеки на серверот, вклучувајќи чувствителни податоци како датотеката wp-config.php, која ги чува името на базата и креденцијалите.
Со пристап до базата на податоци, напаѓачот може да извлече хаширани лозинки, е-пошта на корисници, постови и други приватни податоци (и клучеви, соли за безбедна автентикација).

Иако сериозноста на ранливоста не се смета за критична, бидејќи е потребна автентикација за злоупотреба, многу веб-страници им дозволуваат на корисниците да се претплатат и да го зголемат пристапот до различни делови на сајтот, како коментари.

Сајтови кои нудат било каква членарина или претплата, дозволувајќи им на корисниците да создаваат сметки, ја исполнуваат оваа услов и се ранливи на напади кои ја злоупотребуваат CVE-2025-11705.

Wordfence го пријави проблемот на издавачот, Eli, заедно со проверен proof-of-concept експлоит, преку тимот за безбедност на WordPress.org, на 14 октомври.

На 15 октомври, развивачот објави верзија 4.23.83 од плагинот која ја решава ранливоста CVE-2025-11705 со додавање на соодветна проверка на привилегии на корисникот преку новата функција GOTMLS_kill_invalid_user().

Според статистиките на WordPress.org, приближно 50.000 администратори на веб-страници ја презеле најновата верзија по нејзиното објавување, што укажува дека ист број на сајтови користат ранлива верзија на плагинот.

Во моментов, Wordfence не открил знаци на злоупотреба во природата, но силно се препорачува да се примени закрпата, бидејќи јавното објавување на проблемот може да привлече внимание на напаѓачите.

Извори:

  • Bleeping Computer – „WordPress security plugin exposes private data to site subscribers“ Bleeping Computer