Исследователь кибербезопасности, известный под псевдонимом shark3y, обнаружил и ответственно сообщил о критической уязвимости в популярном плагине WordPress Demo Importer Plus. Эта уязвимость, получившая идентификатор CVE-2025-14364, позволяла злоумышленникам с минимальными правами доступа полностью сбросить сайт и повысить свои привилегии до уровня администратора. Плагин, используемый на более чем 10 000 сайтов, получил исправление лишь в середине декабря 2025 года.
Детали уязвимости
Уязвимость была классифицирована как высокоопасная с оценкой 8.8 по шкале CVSS. Она затрагивала все версии плагина вплоть до 2.0.8 включительно. Проблема заключалась в отсутствии проверки прав доступа в функции "handle_request()". Эта функция обрабатывала AJAX-запросы, включая действие "do-reinstall", предназначенное для переустановки сайта. Хотя функция использовала проверку nonce (уникальный одноразовый код), этот код мог быть получен любым авторизованным пользователем, даже с ролью подписчика.
Следовательно, злоумышленник, имеющий обычную учетную запись на сайте, мог инициировать специальный запрос. В результате выполнения этого запроса происходил полный сброс сайта. База данных очищалась за исключением таблиц пользователей, а затем повторно запускался процесс установки WordPress. Ключевым моментом являлось то, что после переустановки текущий пользователь, то есть атакующий, автоматически получал роль администратора. Это классический пример эскалации привилегий (privilege escalation).
Получив полный контроль над сайтом, злоумышленник мог совершать любые действия. Например, он мог загружать вредоносные файлы, устанавливать бэкдоры или изменять содержимое страниц для перенаправления посетителей на фишинговые ресурсы. Особую озабоченность вызывает тот факт, что плагин использовал стандартный nonce "wp_rest". Если другие плагины или темы раскрывали этот nonce для неавторизованных пользователей, то потенциально уязвимость можно было эксплуатировать и без входа в систему.
Исследователь shark3y сообщил об уязвимости через программу вознаграждений за ошибки (Bug Bounty Program) компании Wordfence 27 ноября 2025 года. За свой вклад в безопасность он получил вознаграждение в размере 195 долларов. Специалисты Wordfence подтвердили проблему и 9 декабря направили полную информацию разработчику плагина, компании Codewing Solutions, через свой портал управления уязвимостями.
Разработчик оперативно отреагировал и уже 16 декабря выпустил патч в версии 2.0.9. Исправление заключалось в добавлении проверки прав "current_user_can('manage_options')" для действия "do-reinstall". Теперь только пользователи с правами администратора могут инициировать сброс сайта через этот функционал.
Данный инцидент ярко демонстрирует важность своевременного обновления всех компонентов сайта. Владельцам сайтов, использующим плагин Demo Importer Plus, необходимо немедленно обновить его до версии 2.0.9 или выше. Это простое действие закрывает опасную брешь в безопасности. Кроме того, рекомендуется применять принцип минимальных привилегий, внимательно подходя к выдаче прав доступа даже обычным пользователям.
Сотрудничество независимых исследователей с командами безопасности через программы Bug Bounty является важным элементом экосистемы защиты. Оно позволяет выявлять и устранять угрозы до их массового использования злоумышленниками. Оперативная реакция разработчика плагина в данном случае помогла минимизировать потенциальный ущерб для тысяч сайтов по всему миру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-14364
- https://plugins.trac.wordpress.org/changeset/3420645/demo-importer-plus/trunk/inc/Ajax.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/ff9364a9-18f8-47d3-b992-e39c8d99d6ea
