В плагине для WordPress устранили уязвимость, которая раскрывала данные пользователей
В плагине Anti-Malware Security and Brute-Force Firewall для WordPress выявлена уязвимость. CVE-2025-11705 позволяет пользователям с минимальными правами просматривать просматривать файлы на сервере.
Плагин разработан для:
обнаружения и удаления вредоносного программного обеспечения;
предотвращения взлома методом подбора пароля;
защиты от эксплойтов популярных ошибок других плагинов;
предотвращения внедрения вредоносных запросов в базу данных.
Проблема связана с функцией обработки AJAX-запросов (GOTMLS_ajax_scan()). Она неправильно проверяет права доступа, доверяя токену nonce, который легко перехватывается злоумышленником. Зарегистрированный пользователь может воспользоваться данной функцией и свободно получать доступ к файлам, хранящимся на сервере хостинга.
Особое внимание привлекает файл конфигурации wp-config.php, содержащий важную информацию о сайте: название базы данных, логины и пароли для доступа к MySQL-серверу, ключи для безопасной аутентификации, адреса электронной почты зарегистрированных пользователей. Получив такую информацию, злоумышленники могут похитить учётные данные администратора, завладеть полным контролем над ресурсом или использовать её для организации дальнейших кибератак.
Уязвимость не является критичной (требуется предварительная регистрация аккаунта). Но любой ресурс с плагином Anti-Malware Security and Brute-Force Firewall, потенциально подвержен угрозе, особенно если на нём разрешён свободный доступ пользователей с ограниченными правами.
Проблема обнаружена 14 октября 2025 года, 15 октября была выпущена новая версия плагина 4.23.83. В патче устранили ошибку путём добавления дополнительного механизма проверки прав пользователя — функции GOTMLS_kill_invalid_user(). Плагин используется на 100 тысячах веб-сайтов, однако лишь половина из них установили необходимые обновления.
На текущий момент специалисты не зафиксировали случаев реального использования данной уязвимости в массовых атаках. Владельцам сайтов настоятельно рекомендуется обновить плагин до актуальной версии 4.23.83.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.