Критическая уязвимость, позволяющая обойти процедуру аутентификации, была обнаружена в популярном плагине для систем дистанционного обучения Tutor LMS Pro, который используется более чем на 30 000 сайтов на базе WordPress. Проблема, получившая идентификатор CVE-2026-0953 и максимальный рейтинг критичности по шкале CVSS - 9.8 баллов, могла привести к полному захвату управления веб-ресурсами. К счастью, разработчик оперативно выпустил исправление, а службы безопасности своевременно обновили правила защиты. Однако история этого инцидента вновь демонстрирует, как ошибка в реализации сторонней авторизации может поставить под угрозу всю инфраструктуру сайта.
Уязвимость CVE-2026-0953
Суть уязвимости заключалась в модуле социального входа (Social Login), который позволял пользователям авторизоваться через аккаунты Google или Facebook*. Как выяснил исследователь Phat RiO, участвующий в программе вознаграждений за обнаружение ошибок (Bug Bounty) компании Wordfence, в коде плагина присутствовала фундаментальная логическая ошибка. Процедура аутентификации корректно проверяла токен доступа OAuth, полученный от социальной сети, чтобы убедиться, что пользователь действительно вошел в свой аккаунт Google или Facebook*. Однако после этой проверки плагин не сопоставлял адрес электронной почты, связанный с этим токеном, с email-адресом, который указывался в запросе на вход. Вместо этого система принимала email, напрямую переданный извне, и осуществляла вход под соответствующей ему учетной записью на WordPress-сайте.
На практике это означало следующее: злоумышленник мог создать обычный аккаунт в Google, получить валидный токен OAuth и, подставив в запрос на вход email-адрес администратора целевого сайта, получить полный доступ к панели управления WordPress. Для успешной атаки требовалось лишь знать или каким-либо образом узнать адрес электронной почты жертвы, что зачастую не составляет большого труда. Таким образом, уязвимость класса «обход аутентификации» (Authentication Bypass) в плагинах с широкой аудиторией представляет собой серьезнейшую угрозу, поскольку открывает прямой путь к компрометации всего сайта, установке вредоносного кода, краже данных или шифрованию информации программами-вымогателями.
Исследователь ответственно сообщил о находке 30 декабря 2025 года, а уже 14 января 2026 года детали были переданы разработчику плагина, компании Themeum, через специализированный портал управления уязвимостями. Реакция вендора была оперативной: 30 января была выпущена исправленная версия плагина 3.9.6. Патч устранил проблему, добавив обязательную проверку на соответствие между email-адресом, извлеченным из верифицированного токена OAuth, и адресом, указанным в запросе.
Этот случай наглядно иллюстрирует важность программ Bug Bounty, которые мотивируют независимых специалистов искать уязвимости и ответственно их раскрывать. За данную находку исследователь получил вознаграждение в размере 1502 долларов США. Более того, компания Wordfence в настоящее время проводит специальную акцию «Triple Threat Bug Bounty Challenge», в рамках которой за отчеты о высокоуровневых угрозах можно получить утроенное вознаграждение. Подобные инициативы являются критически важным элементом современной экосистемы кибербезопасности, создавая дополнительный рубеж обороны для миллионов сайтов по всему миру.
Владельцам сайтов, использующих плагин Tutor LMS Pro, необходимо в срочном порядке убедиться, что установлена версия 3.9.6 или новее. Кроме того, администраторам следует придерживаться базовых принципов безопасности: регулярно обновлять все компоненты сайта (ядро, темы, плагины), использовать сложные уникальные пароли и применять решения для мониторинга и защиты веб-приложений (WAF). Также стоит пересмотреть необходимость использования модулей социального входа, если их функционал не является жизненно важным, поскольку каждый дополнительный компонент увеличивает поверхность для потенциальной атаки. В конечном счете, безопасность - это непрерывный процесс, а не разовое мероприятие, и своевременное применение исправлений остается одним из самых эффективных способов защиты.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0953
- https://www.wordfence.com/threat-intel/vulnerabilities/id/92a120ac-66ae-4678-a87a-e62da885d50b
- https://tutorlms.com/releases/id/393/
