Компания Wordfence сообщает о массовой эксплуатации критической уязвимости в плагине Service Finder Bookings для WordPress, позволяющей злоумышленникам получать несанкционированный доступ к учетным записям администраторов сайтов. С момента публичного раскрытия информации об уязвимости 31 июля 2025 года брандмауэр Wordfence уже заблокировал более 13 800 попыток эксплуатации.
Описание
Уязвимость с идентификатором CVE-2025-5947 получила максимально возможную оценку по шкале CVSS - 9,8 баллов, что классифицирует её как критическую. Проблема затрагивает все версии плагина Service Finder Bookings до 6.0 включительно и была устранена в обновлении 6.1, выпущенном разработчиком 17 июля 2025 года.
Суть уязвимости заключается в некорректной реализации функции переключения между учетными записями service_finder_switch_back(). Код плагина не проверяет права доступа при обработке cookie-файла original_user_id, что позволяет неавторизованным злоумышленникам войти в систему под любым пользователем, включая администраторов. Для успешной атаки достаточно отправить GET-запрос с параметром switch_back=1 и поддельным cookie original_user_id, содержащим идентификатор целевого пользователя.
По данным телеметрии Wordfence, первые атаки были зафиксированы уже на следующий день после публикации информации об уязвимости - 1 августа 2025 года. Наибольшая активность злоумышленников наблюдалась в период с 22 по 29 сентября 2025 года. Среди наиболее агрессивных IP-адресов, осуществлявших атаки, выделяются 5.189.221[.]98 (более 2700 заблокированных запросов), 185.109.21[.]157 (более 2600 запросов) и 192.121.16[.]196 (более 2600 запросов).
Особую озабоченность вызывает тот факт, что тема Service Finder, в состав которой входит уязвимый плагин, была продана примерно 6000 клиентов. Это создает значительную потенциальную базу для атак. Учитывая простоту эксплуатации и критический характер уязвимости, тысячи сайтов могут оставаться незащищенными.
Исследователь, обнаруживший уязвимость, известный под псевдонимом Foxyyy, получил вознаграждение в размере 1002 долларов США в рамках программы Bug Bounty. Параллельно с этим инцидентом Wordfence объявила о специальных конкурсах для исследователей безопасности, включая «Operation: Maximum Impact Challenge» с удвоенными выплатами за уязвимости в программном обеспечении с 5000-5 000 000 активных установок и «LFInder Challenge» с повышенными наградами за обнаружение уязвимостей типа Local File Inclusion.
Эксперты подчеркивают, что компрометация сайта через данную уязвимость может привести к полному захвату контроля, установке вредоносного кода, краже конфиденциальных данных и дальнейшему распространению атаки. Владельцам сайтов, использующих плагин Service Finder Bookings, рекомендуется немедленно проверить его версию и при необходимости выполнить обновление. Для уже скомпрометированных сайтов доступны услуги реагирования на инциденты через сервисы Wordfence Care и Wordfence Response с круглосуточной поддержкой.
Индикаторы компрометации
IPv4
- 178.125.204.198
- 185.109.21.157
- 192.121.16.196
- 194.68.32.71
- 5.189.221.98
