WordPress zajednica ponovo diže uzbunu jer Dvije ranjivosti u široko korištenim dodacima što bi moglo ugroziti sigurnost hiljada web stranica. Jedna od ranjivosti utiče na dodatak Anti-Malware Security i Brute-Force Firewall; druga, popularni paket King Addons za Elementor.
U oba slučaja Ažuriranja su sada dostupna. Stručnjaci preporučuju da ih instalirate bez odlaganja. Uticaj varira u zavisnosti od dodatka, ali imaju zajednički nazivnik: napadači bi mogli dobiti neovlašteni pristup resursima servera ili preuzeti kontrolu nad sajtom ako se flasteri ne primjenjuju.
Zaštita od zlonamjernog softvera i zaštitni zid brute-force: Čitanje datoteka (CVE-2025-11705)
Sigurnosni dodatak Anti-Malware, sa preko 100.000 instalacija, pati od ranjivosti koja se prati kao CVE‑2025‑11705 što omogućava autentificiranom korisniku, čak i s pretplatničkim profilom, čitanje datoteka sa servera. Korijen problema leži u internoj funkciji GOTMLS_ajax_scan()gdje je nedostajala adekvatna verifikacija mogućnosti prilikom obrade AJAX zahtjeva.
Istraživač je identifikovao ranjivost. Dmitrij Ignatijev i prijavljeno Wordfence Threat Intelligence-u. Zbog upravljanja tokenima (nonce), nedostatak kontrole dozvolaBilo koji račun s važećim prijavnim podacima mogao bi pokrenuti skeniranje i pristupiti osjetljivom sadržaju.
Među najprivlačnijim ciljevima je wp-config.phpOva datoteka pohranjuje vjerodajnice baze podataka i ključeve za autentifikaciju. S ovim informacijama, napadač bi mogao nastaviti s radnjama kao što su eksfiltrirati podatke, manipulirati sadržajem ili pokušati nove poteze unutar iste infrastrukture.
Programer dodataka, poznat kao Eli, objavio je ispravljenu verziju 4.23.83, koja dodaje funkciju GOTMLS_ukloni_nevažećeg_korisnika() provjeriti mogućnosti prije obrade zahtjeva. Wordfence je naznačio da, za sada, Nisu uočeni aktivni napadiMeđutim, objavljivanje presude povećava rizik od zloupotrebe ako se ona ne ažurira.
- Oktobar 14: obavještenje programeru putem sigurnosnog tima WordPress.org-a.
- Oktobar 15: Izdanje verzije 4.23.83 sa poboljšanim kontrolama kapaciteta.
- Preuzimanja zakrpa: Otprilike 50.000 instalacija je ažurirano; sličan obim bi mogao ostati izložen ako se ispravka ne primijeni.
Vektor napada je posebno relevantan na lokacijama sa otvorena registracija korisnika (forumi, članstva, bilteni itd.), gdje je prepreka za ulazak prilikom kreiranja računa s minimalnim dozvolama vrlo niska.
King dodaci za Elementor: Otpremanje datoteka i eskalacija privilegija
Komercijalni dodatak King Addons —koji proširuje Elementor widgetima i predlošcima—pokazuje dvije kritične mane koje je dokumentirao Patchstack: proizvoljno učitavanje datoteka bez autentifikacije (CVE‑2025‑6327(ozbiljnost 10/10) i eskalacija privilegija putem krajnja tačka registracije (CVE‑2025‑6325, stepen ozbiljnosti 9,8/10).
Prema savjetovanju, obje ranjivosti su lako iskoristiv u uobičajenim konfiguracijama i može dovesti do potpunog preuzimanja lokacije ili krađe podataka. Proizvođač je objavio verziju 51.1.37, koji uvodi listu dozvoljenih uloga, sanitizaciju unosa i upravitelja učitavanja koji zahtijeva odgovarajuće dozvole i strogo važeći tip datoteke.
Sa preko 10.000 aktivnih instalacija, King Addons se koristi za ubrzavanje dizajna stranica. Upravo zato, nanesite flaster što je prije moguće To je ključno za sprječavanje zlonamjernih aktera da postavljaju opasne datoteke ili daju privilegije računima s više dozvola nego što bi trebali imati.
Šta napadač može postići ako ne ažurirate?
S opisanim nedostacima, protivnik bi mogao povezati korake u rasponu od tiho čitanje informacija pa sve do preuzimanja kontrole nad stranicom. Pristup konfiguracijama, bazama podataka ili direktorijima koje su postavili korisnici otvara niz mogućnosti.
- Krađa heševa lozinki i pokrenuti napade grubom silom izvan mreže.
- Izdvajanje ličnih podataka (e-mailovi, profili) sa mogućim implikacijama na privatnost.
- Izmijenite ulaze ili ubacite kod za distribuciju neželjene pošte ili zlonamjernog softvera.
- Ugradite zadnja vrata da opstane čak i nakon djelomičnog čišćenja.
- Bočno kretanje u dijeljenom hostingu za druge stranice na istom serveru.
Uticaj i obaveze u Španiji i ostatku EU
Za administratore sa sjedištem u Španiji ili Evropskoj uniji, povreda ličnih podataka može aktivirati obaveze prema RGPD, uključujući procjenu utjecaja i, gdje je to primjereno, obavještavanje vlasti i korisnika. Interne politike treba pregledati i evidencije aktivnosti Ako postoji sumnja na neovlašteni pristup i potvrdite da li je vaša stranica WordPress.org ili WordPress.com.
Bez dramatičnosti, ali s razboritošću, razumno je dati prioritet lokacijama sa registracija računa ili privatnih područja, budući da je zahtjev za autentifikaciju u slučaju kvara Anti-Malware programa ispunjen vrlo osnovnim profilima na brojnim portalima.
Preporučene radnje za administratore
Kao prvo ažurira Anti-Malware na verziju 4.23.83 i King Addons na 51.1.37. Ovaj korak uklanja poznate vektore u korijenu i odmah smanjuje površinu napada.
- Opoziva sesije i tokene nakon zakrpe, posebno na stranicama sa otvorenom registracijom.
- Pregled zapisnika pristupa i otpremanja datoteka u potrazi za anomalnim aktivnostima.
- Pooštrava dozvole korisnika i onemogućava registraciju ako nije neophodna.
- Ograničava izvršenje u direktorijima za otpremanje i validiraju MIME tipove na serveru.
- Rezervna kopija verifikovan i ažuriran plan odgovora na incident.
Osim toga, procjenjuje rješenja za praćenje (WAF, liste blokiranih, upozorenja u stvarnom vremenu) i politike za minimalna privilegija za administratorske račune i eksterne usluge.
Statična slika je jasna: sa dostupnim zakrpama, Najbolja odbrana je ažuriranje odmahPažljivo postupanje, provjera evidencije i jačanje kontrola mogu napraviti razliku između uzbune i ozbiljnijeg incidenta.
