Эксперты по кибербезопасности обнаружили критическую уязвимость в популярном плагине Drag and Drop Multiple File Upload PRO для WordPress. Идентифицированная как CVE-2025-5746, эта уязвимость получила максимальные оценки по шкале CVSS (Common Vulnerability Scoring System) - 10.0 в версии 2.0 и 9.8 в версии 3.1. Соответственно, она представляет серьезную угрозу для безопасности веб-сайтов, использующих этот плагин.
Детали уязвимости
Уязвимость относится к категории неограниченной загрузки файлов опасного типа (CWE-434). Фактически, она позволяет злоумышленникам загружать на сервер произвольные файлы без необходимой авторизации. Особенно критично то, что атака выполняется удаленно и не требует от нарушителя специальных привилегий или взаимодействия с пользователем.
Техническая сущность проблемы заключается в отсутствии надлежащей проверки типов загружаемых файлов. Злоумышленники могут использовать эту уязвимость для загрузки вредоносных скриптов, бэкдоров или других опасных файлов. В результате, успешная эксплуатация уязвимости может привести к полному compromise (компрометации) веб-сайта, включая несанкционированный доступ к данным, повреждение контента и установку постоянного присутствия (persistence) на сервере.
Уязвимость затрагивает две основные ветки плагина: версии до 1.7.2 и версии до 5.0.7. По оценкам специалистов, потенциально под угрозой могут находиться тысячи веб-сайтов по всему миру, поскольку данный плагин широко используется для создания удобных интерфейсов загрузки файлов в интернет-магазинах на базе WooCommerce.
Согласно базе данных уязвимостей BDU:2025-14402, уязвимость была выявлена 1 июля 2025 года и уже подтверждена производителем. К настоящему моменту разработчики выпустили исправленные версии плагина, в которых проблема устранена. Поэтому владельцам сайтов настоятельно рекомендуется немедленно обновить плагин до актуальной версии.
Важно отметить, что данный тип уязвимости особенно опасен тем, что может использоваться для распространения ransomware (программ-вымогателей) или других видов вредоносного ПО. Злоумышленники часто используют такие уязвимости для создания точек входа в корпоративные сети через публично доступные веб-приложения.
Эксперты по безопасности рекомендуют не ограничиваться простым обновлением плагина. Дополнительно следует провести аудит журналов доступа на предмет подозрительных операций загрузки файлов. Также рекомендуется настроить мониторинг необычной активности в системе и регулярно проводить сканирование на наличие неизвестных файлов.
Хотя информация о наличии работающих эксплойтов (exploit) пока уточняется, высокая критичность уязвимости предполагает, что злоумышленники могут быстро разработать инструменты для её эксплуатации. Следовательно, задержка с установкой обновлений значительно увеличивает риски компрометации сайта.
Для получения более подробной технической информации рекомендуется обратиться к официальному источнику - исследованию Wordfence, специализирующейся на безопасности WordPress. Компания предоставляет детальное описание уязвимости и рекомендации по её устранению.
В заключение следует подчеркнуть, что своевременное обновление компонентов веб-сайта остается одним из наиболее эффективных способов защиты от киберугроз. Регулярный мониторинг уязвимостей и быстрое применение исправлений позволяют значительно снизить риски для безопасности онлайн-ресурсов. Владельцам сайтов, использующих уязвимые версии плагина, необходимо предпринять меры незамедлительно, чтобы предотвратить потенциальные атаки.
Ссылки
- https://bdu.fstec.ru/vul/2025-14402
- https://www.cve.org/CVERecord?id=CVE-2025-5746
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/drag-and-drop-file-uploads-wc-pro/drag-and-drop-multiple-file-upload-pro-woocommerce-171-and-50-505-unauthenticated-arbitrary-file-upload
- https://www.codedropz.com/woocommerce-drag-drop-multiple-file-upload/
