התראה על באגים בתוספי וורדפרס: תוספים נגד תוכנות זדוניות ותוספי King

  • שתי פגיעויות נפרדות משפיעות על תוספים פופולריים של וורדפרס
  • CVE-2025-11705 מאפשר קריאת קבצים מהשרת עם משתמש מאומת
  • King Addons כולל העלאות קבצים לא מאומתות והסלמת הרשאות
  • עדכונים דחופים: Anti-Malware ל-4.23.83 ותוספי King ל-51.1.37
Creativos Online

5 דקות

פרצת אבטחה בתוסף וורדפרס

קהילת וורדפרס שוב מעוררת אזעקה בגלל שתי פגיעויות בתוספים הנמצאים בשימוש נרחב דבר שעלול לפגוע באבטחה של אלפי אתרים. אחת הפגיעויות משפיעה על התוסף Anti-Malware Security ו-Brute-Force Firewall; השנייה, על חבילת התוספים הפופולרית King Addons עבור Elementor.

בשני המקרים, העדכונים זמינים כעת. ומומחים ממליצים להתקין אותם ללא דיחוי. ההשפעה משתנה עם כל תוסף, אך יש להם מכנה משותף: תוקפים עלולים לקבל גישה בלתי מורשית למשאבי שרת או להשתלט על האתר אם המדבקות לא יוחלו.

אבטחה נגד תוכנות זדוניות וחומת אש של Brute-Force: קריאת קבצים (CVE-2025-11705)

תוסף האבטחה נגד תוכנות זדוניות, עם למעלה מ-100.000 התקנות, סובל מפגיעות שעוקבת אחריה כ... CVE-2025-11705 מה שמאפשר למשתמש מאומת, אפילו עם פרופיל מנוי, לקרוא קבצים מהשרת. שורש הבעיה טמון בפונקציה הפנימית GOTMLS_ajax_scan()כאשר היה חוסר באימות יכולות הולם בעת עיבוד בקשות AJAX.

הפגיעות זוהתה על ידי החוקר. דמיטרי איגנטייב ודווח למודיעין האיומים של Wordfence. עקב ניהול אסימונים (nonce), ה- חוסר בקרת הרשאותכל חשבון עם שם משתמש תקין עלול להפעיל את הסריקה ולגשת לתוכן רגיש.

בין המטרות המפתות ביותר נמצאת wp-config.phpקובץ זה מאחסן פרטי גישה למסד נתונים ומפתחות אימות. בעזרת מידע זה, תוקף יכול לבצע פעולות כגון לסנן נתונים, לתפעל תוכן או לנסות מהלכים חדשים בתוך אותה תשתית.

מפתח התוסף, המכונה אלי, פרסמה את גרסה מתוקנת 4.23.83, אשר מוסיפה את הפונקציה GOTMLS_kill_invalid_user() כדי לאמת יכולות לפני עיבוד בקשות. Wordfence ציין כי, לעת עתה, לא נצפו התקפות פעילותעם זאת, פרסום הפסיקה מגביר את הסיכון לניצול אם היא לא תעודכן.

  • אוקטובר 14: הודעה למפתח דרך צוות האבטחה של WordPress.org.
  • אוקטובר 15: הפצת גרסה 4.23.83 עם בקרות קיבולת משופרות.
  • הורדות טלאים: כ-50.000 התקנות עודכנו; כמות דומה עשויה להישאר חשופה אם התיקון לא יושם.

וקטור התקיפה רלוונטי במיוחד באתרים עם רישום משתמש פתוח (פורומים, חברות, ניוזלטרים וכו'), שבהם מחסום הכניסה ליצירת חשבונות עם הרשאות מינימליות הוא נמוך מאוד.

תוספים של King עבור Elementor: העלאת קבצים והעלאת הרשאות

התוסף המסחרי קינג תוספים —אשר מרחיב את Elementor עם ווידג'טים ותבניות — מציג שני פגמים קריטיים שתועדו על ידי Patchstack: טעינת קבצים שרירותית ללא אימות (CVE-2025-6327(חומרה 10/10) והסלמה של זכויות דרך ה נקודת קצה של הרישום (CVE-2025-6325, חומרה 9,8/10).

על פי ההנחיה, שתי הפגיעויות הן ניתן לניצול בקלות בתצורות נפוצות ויכול להוביל להשתלטות מוחלטת על האתר או לגניבת נתונים. היצרן פרסם את הגרסה 51.1.37, אשר מציג רשימה של תפקידים מורשים, ניקוי קלט ומנהל עומסים הדורש הרשאות מתאימות תקף לחלוטין סוג הקובץ.

עם למעלה מ-10.000 התקנות פעילות, King Addons משמש להאצת עיצוב דפים. זו בדיוק הסיבה, להדביק את המדבקה בהקדם האפשרי זהו מפתח למניעת העלאת קבצים מסוכנים מצד גורמים זדוניים או הרחבת הרשאות לחשבונות עם הרשאות רבות יותר ממה שמגיע להם.

מה יכול תוקף להשיג אם לא תעדכן?

עם הפגמים המתוארים, יריב יכול לשרשר שלבים החל מ... קריאה שקטה של ​​מידע עד וכולל השתלטות על האתר. גישה לתצורות, מסדי נתונים או ספריות שהועלו על ידי משתמשים פותחת מגוון אפשרויות.

  • גניבת גיבובי סיסמה ולשגר התקפות כוח ברוט לא מקוונות.
  • חילוץ נתונים אישיים (אימיילים, פרופילים) עם השלכות אפשריות על פרטיות.
  • שינוי קלט או הזרקת קוד להפצת ספאם או תוכנות זדוניות
  • התקנת דלתות אחוריות להימשך גם לאחר ניקוי חלקי.
  • תנועה צידית באירוח משותף לאתרים אחרים באותו שרת.

השפעה וחובות בספרד ובשאר האיחוד האירופי

עבור מנהלים שבסיסם בספרד או באיחוד האירופי, פרצת מידע אישי עלולה להפעיל חובות במסגרת RGPD, כולל הערכת השפעה, ובמידת הצורך, הודעות לרשויות ולמשתמשים. יש לבחון מחדש את המדיניות הפנימית ולבחון אותה. יומני פעילות אם יש חשד לגישה בלתי מורשית, וודאו אם האתר שלכם WordPress.org או WordPress.com.

בלי להיות דרמטיים אבל בזהירות, הגיוני לתעדף אתרים עם רישום חשבון או אזורים פרטיים, מכיוון שדרישת האימות בכשל האנטי-וירוס מתקיימת באמצעות פרופילים בסיסיים מאוד בפורטלים רבים.

פעולות מומלצות למנהלי מערכת

ראשית כל מעדכן את האנטי-וירוס לגרסה 4.23.83 ו-King Addons ב-51.1.37. שלב זה מנתק וקטורים ידועים בשורש ומקטין באופן מיידי את משטח ההתקפה.

  • מבטל הפעלות ואסימונים לאחר התיקון, במיוחד באתרים עם רישום פתוח.
  • סקירת יומני רישום של גישה והעלאות קבצים בחיפוש אחר פעילות חריגה.
  • מחמיר את ההיתרים של משתמשים ומשבית רישום אם הוא אינו חיוני.
  • מגביל את הביצוע בתיקיות העלאה ולאמת סוגי MIME בשרת.
  • גיבוי תוכנית תגובה לאירועים מאומתת ומעודכנת.

בנוסף, היא מעריכה פתרונות ניטור (WAF, רשימות חסימה, התראות בזמן אמת) ומדיניות עבור מינימום פריבילגיה עבור חשבונות ניהול ושירותים חיצוניים.

התמונה הסטולה ברורה: עם תיקונים זמינים, ההגנה הטובה ביותר היא לעדכן עכשיופעולה חריפה, בדיקת רישומים וחיזוק הבקרות יכולים לעשות את ההבדל בין הפחדה לאירוע חמור יותר.

הבדלים בין wordpress.com ו-wordpress.org
Artaculo relacionado:
הבדלים בין wordpress.com ו-wordpress.org