В популярном плагине безопасности для WordPress обнаружена критическая уязвимость, позволяющая злоумышленникам с базовыми правами доступа читать любые файлы на веб-сервере. Плагин Anti-Malware Security and Brute-Force Firewall, который устанавливают более 100 000 сайтов, содержит опасную ошибку авторизации, зарегистрированную под идентификатором CVE-2025-11705 с оценкой CVSS 6.5 баллов.
Детали уязвимости
Уязвимость представляет собой недостаток проверки прав доступа в функции GOTMLS_ajax_scan(), предназначенной для отображения результатов сканирования на вредоносное программное обеспечение. Хотя функция изначально включает защиту nonce, предназначенную для предотвращения несанкционированного доступа, злоумышленники с учетными записями уровня подписчика могут обойти эти меры безопасности. Это позволяет им читать произвольные файлы на сервере, включая критически важные системные файлы.
Особую опасность представляет возможность доступа к файлу wp-config.php, который содержит учетные данные базы данных и криптографические ключи безопасности, необходимые для защиты WordPress. Получение этой информации может привести к полному компрометированию веб-сайта и потенциальной утечке конфиденциальной информации пользователей.
Исследователь безопасности Дмитрий Игнатьев обнаружил данную уязвимость и ответственно сообщил о ней через программу вознаграждений за обнаружение ошибок Wordfence 3 октября 2025 года. За свое открытие исследователь получил вознаграждение в размере 960 долларов США. После валидации уязвимости специалистами Wordfence 13 октября 2025 года разработчик плагина оперативно выпустил исправленную версию 4.23.83 уже 15 октября 2025 года.
Исправление реализует корректные проверки прав доступа через функцию GOTMLS_kill_invalid_user(), обеспечивающую доступ к операциям с файлами только пользователям с соответствующими привилегиями. Это предотвращает эксплуатацию уязвимости подписчиками и другими пользователями с низким уровнем прав.
Пользователи коммерческих версий Wordfence Premium, Care и Response получили защиту межсетевого экрана от потенциальных атак 14 октября 2025 года. Пользователи бесплатной версии Wordfence получат аналогичную защиту 13 ноября 2025 года, следуя стандартной 30-дневной задержке распространения обновлений.
Владельцам веб-сайтов, использующим плагин Anti-Malware Security and Brute-Force Firewall, необходимо немедленно обновить его до версии 4.23.83 или более поздней для защиты от возможных атак. Уязвимость затрагивает все версии плагина вплоть до 4.23.81 включительно, что делает своевременное обновление критически важным для поддержания безопасности веб-сайтов.
Данный инцидент подчеркивает важность регулярного обновления плагинов и мониторинга уведомлений о безопасности. Владельцам сайтов следует проверять версии установленных плагинов и оперативно применять обновления для предотвращения несанкционированного доступа к конфиденциальным файлам сервера и поддержания целостности их установок WordPress.
Эксперты по кибербезопасности отмечают, что уязвимости, связанные с недостаточной проверкой прав доступа, остаются распространенной проблемой среди плагинов WordPress. Рекомендуется проводить регулярные аудиты безопасности, ограничивать права пользователей минимально необходимыми привилегиями и использовать решения для обнаружения и предотвращения вторжений. Своевременное применение исправлений и соблюдение принципа минимальных привилегий существенно снижают риски эксплуатации подобных уязвимостей в будущем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-11705
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e2c8838c-d29a-4df8-85b3-6e440ba7f962
- https://plugins.trac.wordpress.org/changeset/3379118/gotmls
