Более 600 000 сайтов на WordPress подвержены риску из-за критической уязвимости типа PHP Object Injection (инъекция PHP-объектов) в популярном плагине Fluent Forms. Уязвимость, получившая идентификатор CVE-2025-9260, позволяет авторизованным злоумышленникам читать произвольные файлы на сервере, включая конфигурационные файлы с учетными данными базы данных.
Детали узявимости
Открытие уязвимости стало возможным благодаря исследователю Webbernaut, который участвовал в программе вознаграждений за ошибки безопасности Wordfence Bug Bounty Program. За обнаружение данной проблемы исследователь получил вознаграждение в размере 1729 долларов. Команда Wordfence оперативно уведомила разработчиков плагина из WPManageNinja через портал управления уязвимостями 20 августа 2025 года, и уже 27 августа был выпущен патч.
Уязвимость затрагивает версии плагина с 5.1.16 по 6.1.1. Проблема связана с функцией parseUserProperties, которая неправильно обрабатывает сериализованные данные метаполей пользователя. Это позволяет злоумышленникам с уровнем доступа не выше подписчика внедрять вредоносные PHP-объекты и использовать имеющуюся в плагине POP-цепочку (Property-Oriented Programming) для чтения произвольных файлов на сервере.
Технический анализ показывает, что уязвимость возникает при обработке смарт-кодов в формах, когда плагин использует функцию maybe_unserialize без должной проверки входных данных. Это создает условия для десериализации непроверенных данных, что может привести не только к чтению файлов, но и к выполнению произвольного кода при определенных настройках сервера.
Разработчики исправили уязвимость в версии 6.1.2, заменив опасную функцию десериализации на безопасную реализацию Helper::safeUnserialize, которая запрещает десериализацию объектов классов. Первоначальная попытка исправления в версии 6.1.0 оказалась неудачной из-за ошибки, вызывающей фатальную ошибку выполнения.
Все пользователи Wordfence, включая обладателей бесплатной версии, защищены от возможных атак благодаря встроенному механизму Generic Object Injection protection в файрволе Wordfence. Однако эксперты настоятельно рекомендуют всем владельцам сайтов немедленно обновить плагин до версии 6.1.2, учитывая серьезность угрозы.
Уязвимость получила оценку 6.5 по шкале CVSS, что классифицирует ее как среднюю по severity, однако потенциальные последствия компрометации конфигурационных файлов WordPress могут быть крайне серьезными для владельцев сайтов.
Хронология событий показывает эффективное сотрудничество между исследователями безопасности, компанией Wordfence и разработчиками плагина. Полное описание уязвимости было предоставлено 20 августа, а уже через неделю было выпущено исправление, что демонстрирует быстрое реагирование на критически важные угрозы безопасности.
Владельцам сайтов рекомендуется не только обновить плагин, но и проверить свои системы на предмет возможных компрометаций, особенно если они не использовали защитные решения Wordfence в период до выпуска патча.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-9260
- https://www.wordfence.com/threat-intel/vulnerabilities/id/938e5d6b-1ad6-4021-a148-1d1c9e8a0a83?source=cve
- https://plugins.trac.wordpress.org/browser/fluentform/tags/6.0.2/app/Services/FormBuilder/EditorShortcodeParser.php#L214
- https://plugins.trac.wordpress.org/browser/fluentform/tags/6.0.2/vendor/wpfluent/framework/src/WPFluent/View/View.php#L7
