Критическая уязвимость типа бэкдор была обнаружена в плагине LA-Studio Element Kit for Elementor для WordPress, который активно используют более 20 000 сайтов. Проблема, получившая идентификатор CVE-2026-0920, позволяет злоумышленнику без аутентификации создавать на сайте учётные записи с правами администратора, что ведёт к полному компрометированию ресурса.
Детали уязвимости
Уязвимость затрагивает все версии плагина вплоть до 1.5.6.3 включительно. Её суть заключается в отсутствии проверки роли пользователя при регистрации через функцию "ajax_register_handle". Атакующий может передать специальный параметр "lakit_bkrole" в запросе, что приведёт к автоматическому присвоению новой учётной записи прав администратора WordPress. Код, реализующий эту скрытую функциональность, был намеренно обфусцирован, чтобы избежать обнаружения при проверках.
Интересно, что, согласно заявлению разработчика LA-Studio, этот бэкдор был добавлен в код бывшим сотрудником компании. Его трудовая деятельность завершилась в конце декабря 2025 года, и последние изменения в зловредный код были внесены примерно в то же время. Этот инцидент служит важным напоминанием об угрозах инсайдеров и необходимости строгого контроля за действиями сотрудников, особенно в период их увольнения.
Уязвимость была обнаружена и ответственно сообщена исследователями Ативатом Типрасахарном (Jitlada), Иттидеем Арамсри (Boeing777) и Варисом Дамкхамом через программу Bug Bounty компании Wordfence. За свой вклад в безопасность они получили вознаграждение в размере 975 долларов США. Wordfence оперативно уведомила вендора 13 января 2026 года через свой портал управления уязвимостями.
Разработчик отреагировал крайне оперативно. Уже 14 января 2026 года была выпущена исправленная версия плагина 1.6.0, в которой данная уязвимость полностью устранена.
Эксперты по кибербезопасности настоятельно рекомендуют всем владельцам сайтов на WordPress, использующим LA-Studio Element Kit for Elementor, немедленно обновить плагин до версии 1.6.0. Оценка по шкале CVSS для этой уязвимости составляет 9.8 балла из 10, что классифицирует её как критическую. Получив права администратора, злоумышленник может загружать вредоносные плагины и темы, изменять содержимое страниц для перенаправления пользователей на фишинговые ресурсы или внедрять спам.
Этот случай подчёркивает важность регулярного обновления всех компонентов веб-сайта, включая плагины и темы, а также ценность программ вознаграждения за обнаружение уязвимостей (Bug Bounty Program), которые помогают выявлять и устранять подобные угрозы до их широкого использования киберпреступниками.
Ссылки
- https://wordpress.org/plugins/lastudio-element-kit/
- https://www.wordfence.com/blog/2026/01/20000-wordpress-sites-affected-by-backdoor-vulnerability-in-la-studio-element-kit-for-elementor-wordpress-plugin/
