В экосистеме WordPress зафиксирована массовая эксплуатация критической уязвимости в плагине WP Freeio, позволяющей злоумышленникам получать права администратора без аутентификации. По данным компании Wordfence, специализирующейся на безопасности веб-приложений, с момента публичного раскрытия информации об уязвимости 10 октября 2025 года было зарегистрировано и предотвращено свыше 33 200 попыток эксплуатации.
Описание
Уязвимость, получившая идентификатор CVE-2025-11533, оценена по шкале CVSS в 9.8 баллов из 10, что соответствует критическому уровню опасности. Проблема затрагивает все версии плагина до 1.2.22 включительно и связана с неправильной проверкой ролей пользователей при регистрации. Плагин WP Freeio входит в состав премиум-темы Freeio, которая была продана более 1700 раз.
Технический анализ показал, что функция process_register() в классе WP_Freeio_User не выполняет adequate проверку параметра 'role', передаваемого в POST-запросе. Это позволяет неаутентифицированным злоумышленникам указать роль 'administrator' при регистрации и получить полный контроль над сайтом. В эксплойтах используется простой HTTP-запрос с параметрами role=administrator, email, password и confirmpassword.
Первые сообщения о уязвимости поступили исследователям 25 сентября 2025 года. Разработчик выпустил исправленную версию 1.2.22 только 9 октября, а на следующий день, 10 октября, информация об уязвимости была опубликована в базе данных Wordfence Intelligence. Примечательно, что активные атаки начались практически одновременно с публикацией - 10 октября 2025 года.
Согласно статистике Wordfence Firewall, пик атак пришелся на период с 21 по 23 октября, когда было зафиксировано наибольшее количество блокировок. Аналитики предполагают, что злоумышленники могли изучать уязвимость в течение первых дней после раскрытия, прежде чем начать массовую кампанию.
Среди наиболее активных IP-адресов, с которых осуществлялись атаки, выделяются 35.178.249[.]28 (более 1500 блокировок), 35.178.250[.]18 (свыше 1400 блокировок) и 13.239.253[.]194 (более 1300 блокировок). Всего в списке наиболее агрессивных источников атак находится десять IP-адресов, преимущественно принадлежащих облачным провайдерам.
Эскалация привилегий через уязвимости типа Privilege Escalation представляет серьезную угрозу, поскольку позволяет злоумышленникам полностью компрометировать сайт. Получив права администратора, атакующие могут загружать вредоносные файлы в виде плагинов и тем, которые часто содержат бэкдоры, изменять содержимое страниц для перенаправления пользователей на фишинговые ресурсы или внедрять спам-контент. В некоторых случаях злоумышленники могут установить программы-вымогатели, которые блокируют доступ к сайту до выплаты выкупа.
Для обнаружения возможного взлома администраторам рекомендуется проверить наличие новых учетных записей с правами администратора, особенно созданных после 10 октября 2025 года. Также следует проанализировать логи веб-сервера на предмет запросов с перечисленных IP-адресов. Отсутствие таких записей в логах не гарантирует безопасность сайта, поэтому необходима тщательная проверка при любых подозрительных активностях.
Индикаторы компрометации
IPv4
- 13.239.253.194
- 13.40.54.54
- 18.118.154.234
- 18.220.143.136
- 3.148.213.82
- 3.25.204.16
- 3.8.127.16
- 35.177.84.254
- 35.178.249.28
- 35.178.250.18
