WordPress-fællesskabet slår endnu engang alarm pga. To sårbarheder i udbredte plugins hvilket kan kompromittere sikkerheden på tusindvis af websteder. En af sårbarhederne påvirker pluginnet Anti-Malware Security og Brute-Force Firewall; den anden påvirker den populære King Addons-pakke til Elementor.
I begge tilfælde Opdateringerne er nu tilgængelige. Og eksperter anbefaler at installere dem uden forsinkelse. Effekten varierer med hvert plugin, men de har en fællesnævner: angribere kan få uautoriseret adgang til serverressourcer eller tage kontrol over webstedet hvis plastrene ikke påføres.
Anti-malware-sikkerhed og Brute-Force Firewall: Fillæsning (CVE-2025-11705)
Anti-Malware-sikkerhedspluginnet, med over 100.000 installationer, lider af en sårbarhed, der spores som CVE-2025-11705 hvilket tillader en godkendt bruger, selv med en abonnentprofil, at læse filer fra serveren. Roden til problemet ligger i den interne funktion GOTMLS_ajax_scan()hvor der manglede tilstrækkelig kapacitetsverifikation ved behandling af AJAX-anmodninger.
Sårbarheden blev identificeret af forskeren. Dmitrij Ignatiev og rapporteret til Wordfence Threat Intelligence. På grund af token-styring (nonce-styring), den manglende kontrol over tilladelserEnhver konto med et gyldigt login kan aktivere scanningen og få adgang til følsomt indhold.
Blandt de mest tiltalende mål er wp-config.phpDenne fil gemmer databaseoplysninger og godkendelsesnøgler. Med disse oplysninger kan en angriber fortsætte med handlinger som f.eks. eksfiltrere data, manipulere indhold eller forsøge nye træk inden for den samme infrastruktur.
Plugin-udvikleren, kendt som Eli, udgav den korrigerede version 4.23.83, som tilføjer funktionen GOTMLS_kill_invalid_user() at verificere funktioner før behandling af anmodninger. Wordfence angav, at for nuværende, Der er ikke observeret aktive angrebOffentliggørelse af kendelsen øger dog risikoen for udnyttelse, hvis den ikke opdateres.
- Oktober xnumx: underretning til udvikleren via WordPress.orgs sikkerhedsteam.
- Oktober xnumx: Udgivelse af version 4.23.83 med forbedrede kapacitetskontroller.
- Download af patches: Cirka 50.000 installationer er blevet opdateret; et lignende antal kan forblive eksponeret, hvis rettelsen ikke implementeres.
Angrebsvektoren er særligt relevant på steder med brugerregistrering åben (fora, medlemskaber, nyhedsbreve osv.), hvor adgangsbarrieren for at oprette konti med minimale tilladelser er meget lav.
King-tilføjelser til Elementor: Filuploads og privilegieeskalering
Det kommercielle tilbehør King Addons —som udvider Elementor med widgets og skabeloner— præsenterer to kritiske fejl dokumenteret af Patchstack: vilkårlig filindlæsning uden godkendelse (CVE-2025-6327(sværhedsgrad 10/10) og en optrapning af privilegier gennem registreringens slutpunkt (CVE-2025-6325, sværhedsgrad 9,8/10).
Ifølge rådgivningen er begge sårbarheder let udnyttelig i almindelige konfigurationer og kan føre til en fuldstændig overtagelse af webstedet eller datatyveri. Producenten offentliggjorde versionen 51.1.37, som introducerer en liste over tilladte roller, inputrensning og en load manager, der kræver de nødvendige tilladelser og strengt gyldig filtypen.
Med over 10.000 aktive installationer bruges King Addons til at fremskynde sidedesign. Det er netop derfor, påfør plasteret så hurtigt som muligt Det er nøglen til at forhindre ondsindede aktører i at uploade farlige filer eller eskalere privilegier til konti med flere tilladelser, end de burde have.
Hvad kan en angriber opnå, hvis du ikke opdaterer?
Med de beskrevne mangler kunne en modstander sammenkæde trin lige fra lydløs læsning af information op til og inklusive at tage kontrol over webstedet. Adgang til brugeruploadede konfigurationer, databaser eller mapper åbner op for en række muligheder.
- Stjæle adgangskoder og iværksætte offline brute-force-angreb.
- Udtræk personoplysninger (e-mails, profiler) med mulige konsekvenser for privatlivets fred.
- Rediger input eller indsæt kode at distribuere spam eller malware.
- Installer bagdøre at vedvare selv efter delvis rengøring.
- Lateral bevægelse i delt hosting til andre websteder på den samme server.
Indvirkning og forpligtelser i Spanien og resten af EU
For administratorer med base i Spanien eller Den Europæiske Union kan et brud på persondatasikkerheden udløse forpligtelser i henhold til RGPD, herunder konsekvensanalyse og, hvor det er relevant, meddelelser til myndigheder og brugere. Interne politikker bør gennemgås og aktivitetslogs Hvis der er mistanke om uautoriseret adgang, og bekræft om dit websted er WordPress.org eller WordPress.com.
Uden at være dramatisk, men med forsigtighed, er det fornuftigt at prioritere steder med kontoregistrering eller private områder, da godkendelseskravet i Anti-Malware-fejlen er opfyldt med meget grundlæggende profiler på adskillige portaler.
Anbefalede handlinger for administratorer
Først og fremmest opdaterer Anti-Malware til 4.23.83 og King Addons ved 51.1.37. Dette trin afskærer kendte vektorer ved roden og reducerer øjeblikkeligt angrebsfladen.
- Tilbagekalder sessioner og tokens efter patchen, især på websteder med åben registrering.
- Gennemgå logfiler af adgang og filuploads i jagten på unormal aktivitet.
- Strammer tilladelser af brugere og deaktiverer registrering, hvis det ikke er nødvendigt.
- Begrænser udførelsen i uploadmapper og valider MIME-typer på serveren.
- Backup verificeret og opdateret hændelsesplan.
Derudover vurderer den overvågningsløsninger (WAF, blokeringslister, realtidsadvarsler) og politikker for minimumsprivilegium for administrationskonti og eksterne tjenester.
Stillbilledet er klart: med tilgængelige programrettelser, Det bedste forsvar er at opdatere nuAt handle omhyggeligt, tjekke optegnelser og styrke kontrollen kan være forskellen mellem en forskrækkelse og en mere alvorlig hændelse.
