Более 40 000 сайтов на базе WordPress оказались под угрозой из-за критической уязвимости Arbitrary File Read в популярном плагине UiCore Elements. Уязвимость, обнаруженная 13 июня 2025 года, позволяла неаутентифицированным злоумышленникам читать любые файлы на сервере, включая конфигурационные данные с чувствительной информацией. Проблема затрагивала все версии плагина до 1.3.0 включительно и была связана с фундаментальным недостатком в функционале импорта Elementor - конструктора страниц, используемого миллионами веб-сайтов.
Описание уязвимостей
Исследователь кибербезопасности mikemyers выявил уязвимость через программу вознаграждений Wordfence Bug Bounty Program, получив за отчет $617.00. Технический анализ показал, что проблема заключалась в функции prepare_template() класса UiCoreElements\REST_API. Ключевым недостатком стало установленное значение permission_callback => '__return_true', делающее REST API эндпоинт публично доступным без проверки прав. Это позволяло злоумышленникам передавать произвольные параметры через запросы.
Уязвимость затрагивала импорт изображений через функцию import() в классе Elementor\TemplateLibrary\Classes\Import_Images. В проблемной версии отсутствовала проверка типа файла и его источника. Как следствие, атакующие могли копировать содержимое любых файлов (включая .php) в папку загрузок с расширением .jpg, получая доступ к конфиденциальным данным, таким как wp-config.php с учетными данными базы данных.
Разработчики UiCore Elements проявили оперативность: получив уведомление 18 июня, они уже 19 июня зарегистрировались на портале управления уязвимостями Wordfence и выпустили патчированную версию 1.3.1 в тот же день. Исправление добавило проверку прав администратора через функцию check_for_permission(), возвращающую current_user_can('manage_options').
Дальнейшее расследование выявило связанную уязвимость в самом Elementor (CVE-2025-8081), где аутентифицированные злоумышленники с правами администратора могли читать файлы. Разработчики Elementor выпустили патч 22 июля в версии 3.30.3, добавив проверку источника файла функцией is_uploaded_file(). Это предотвращает обработку файлов, не загруженных через стандартные механизмы WordPress.
Эксперты настоятельно рекомендуют владельцам сайтов немедленно обновить UiCore Elements до версии 1.3.1 и Elementor до 3.30.3. Уязвимость Arbitrary File Read оценивается в 7.5 баллов по шкале CVSS (высокий риск) и позволяет получать критически важные данные без аутентификации. Для пользователей, не применяющих Wordfence, актуальность обновлений особенно высока. Распространение информации о данной уязвимости среди администраторов сайтов поможет снизить риски массовых компрометаций.
