Киберпреступники активно атакуют уязвимость критической степени опасности в плагине Case Theme User для WordPress, позволяющую обходить аутентификацию и получать несанкционированный доступ к учетным записям, включая административные. Плагин, который входит в состав нескольких премиальных тем, установлен примерно на 12 000 сайтах. Уязвимости присвоен идентификатор CVE-2025-5821 и рейтинг CVSS 9.8 (критический).
Описание
Проблема заключается в недостатках реализации функции социального входа через Facebook. Как показал анализ кода, функция facebook_ajax_login_callback() в классе Case_Theme_User_Ajax не обеспечивает надлежащую проверку пользователя. Это позволяет неавторизованным злоумышленникам войти в систему под любым существующим аккаунтом, если им известен адрес электронной почты жертвы.
Эксплуатация уязвимости включает два этапа: сначала злоумышленник регистрирует временного пользователя с собственным email через функционал плагина, а затем, подставляя email целевого пользователя (например, администратора), получает к нему доступ. Для успешной атаки требуется знать или угадать email администратора, что часто не составляет труда благодаря использованию стандартных адресов, таких как admin@, office@ или sales@.
Производитель выпустил исправленную версию плагина 1.0.4 13 августа 2025 года. Однако массовая эксплуатация уязвимости началась уже на следующий день после публичного раскрытия информации - 23 августа. По данным Wordfence, с момента раскрытия уязвимости было заблокировано более 20 900 попыток эксплуатации.
Наиболее активные атаки исходят от IP-адресов 2602:ffc8:2:105:216:3cff:fe96:129f, 146.70.186.142, 107.175.179.8, 2602:ffc8:2:105:216:3cff:fe40:4b78 и 89.117.42.68. Владельцам сайтов рекомендуется проверить логи на предмет подозрительных запросов с этих адресов.
Индикаторы компрометации
IPv4
- 107.175.179.8
- 146.70.186.142
- 89.117.42.68
IPv6
- 2602:ffc8:2:105:216:3cff:fe40:4b78
- 2602:ffc8:2:105:216:3cff:fe96:129f
