В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярный плагин для бес-парольного входа в системы управления содержимым сайта WordPress. Уязвимости присвоен идентификатор BDU:2025-16419, а также CVE-2025-10294. Речь идет о плагине OwnID Passwordless Login, который предоставляет пользователям возможность входить на сайт без использования традиционных паролей. Однако, как выяснилось, в версиях плагина до 1.3.4 включительно существует опасный недостаток, позволяющий злоумышленнику полностью обойти процедуру проверки подлинности.
Детали уязвимости
Технически уязвимость классифицируется как обход аутентификации посредством использования альтернативного пути или канала. Это означает, что в коде плагина существует неочевидный способ получить доступ к защищенным функциям или данным, минуя стандартные механизмы входа. Эксперты оценивают эту проблему как критическую. В системах оценки CVSS 2.0 и CVSS 3.1 уязвимость получила максимальные или близкие к максимальным баллы. Например, базовая оценка по CVSS 3.1 составляет 9.8 из 10. Такой высокий уровень опасности обусловлен тем, что для успешной атаки не требуются никакие специальные привилегии или взаимодействие с пользователем. Более того, воздействию подвергаются все ключевые аспекты информационной безопасности: конфиденциальность, целостность и доступность данных на сайте.
Успешная эксплуатация этой уязвимости предоставляет удаленному злоумышленнику практически полный контроль над сайтом. Поскольку аутентификация является фундаментальным элементом защиты, ее обход равносилен получению ключей от всего цифрового имущества. В результате злонамеренный актор может получить доступ к административной панели, украсть или изменить любые данные, включая персональную информацию пользователей, а также загрузить вредоносный код. Последний сценарий особенно опасен, так как может привести к установке программ-вымогателей (ransomware) или созданию постоянного доступа для последующих атак. Следовательно, угроза является прямой и серьезной для любого сайта, использующего уязвимую версию плагина.
На данный момент производитель плагина, компания OwnID, подтвердил наличие уязвимости. Однако подробная информация о способе ее устранения, а также о наличии готовых эксплойтов еще уточняется. Тем не менее, основной и самый эффективный способ защиты уже известен. Разработчики выпустили обновленную версию плагина 1.3.5, в которой данная проблема была устранена. Соответственно, всем администраторам сайтов на WordPress, использующим OwnID Passwordless Login, настоятельно рекомендуется немедленно проверить версию плагина и обновить его до актуальной. Это простое действие полностью закрывает критическую брешь в безопасности.
В случае если быстрое обновление по какой-то причине невозможно, эксперты предлагают ряд компенсирующих мер. Прежде всего, рекомендуется использовать межсетевой экран уровня приложений, который способен фильтровать входящий трафик и блокировать попытки эксплуатации известных уязвимостей. Кроме того, полезным может быть применение комплексных средств антивирусной защиты для мониторинга активности на сервере и проверки загружаемых файлов. Однако важно понимать, что эти меры носят временный характер и не гарантируют полной защиты. Они лишь усложняют задачу для атакующего, но не устраняют коренную причину проблемы.
Обнаружение этой уязвимости в очередной раз подчеркивает важность регулярного и своевременного обновления всех компонентов веб-сайта. Плагины часто становятся целью для киберпреступников, поскольку их безопасность может быть проработана менее тщательно, чем безопасность ядра самой CMS. Владельцам сайтов следует включить регулярные проверки обновлений в рутинные процедуры обслуживания. Более того, стоит рассмотреть возможность подписки на уведомления от авторитетных источников, таких как BDU или специализированные блоги по кибербезопасности. Таким образом, оперативное реагирование на подобные инциденты становится более управляемым процессом.
В заключение, уязвимость в плагине OwnID Passwordless Login представляет собой серьезную угрозу. Ее критический статус и простота эксплуатации делают ее привлекательной для злоумышленников. К счастью, патч уже доступен, и основная задача сообщества сейчас - обеспечить его максимально широкое распространение. Администраторам следует действовать без промедления, чтобы защитить свои ресурсы и данные пользователей от потенциального компрометирования. В конечном итоге, устойчивость экосистемы WordPress зависит от коллективной осведомленности и ответственности каждого ее участника.
Ссылки
- https://bdu.fstec.ru/vul/2025-16419
- https://www.cve.org/CVERecord?id=CVE-2025-10294
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ownid-passwordless-login/ownid-passwordless-login-134-authentication-bypass
- https://wordpress.org/plugins/ownid-passwordless-login/
