- 19,402
- 40
- 8 Ноя 2022
Как всего несколько строк кода поставили под удар полмиллиона веб-сайтов.
Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Для просмотра ссылки Войдиили Зарегистрируйся , позволяющей злоумышленникам получить полный контроль над администраторской учётной записью. Уязвимость получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся и затрагивает все версии плагина до 3.2.0 включительно. На момент публикации исправление установлено менее чем на половине всех систем, использующих этот компонент.
Post SMTP — это инструмент для надёжной отправки электронной почты с сайтов на WordPress, замещающий встроенную функцию wp_mail(). Свыше 400 тысяч установок делают его одним из самых популярных решений в своей категории. Однако в мае 2025 года специалисты PatchStack получили отчёт о том, что в REST API плагина реализована неверная логика контроля доступа. Вместо проверки прав пользователя система ограничивалась фактом авторизации, что позволило даже посетителям с низкими привилегиями, например подписчикам, обращаться к защищённым данным.
В частности, подписчик мог инициировать сброс пароля администратора и перехватить соответствующее письмо через журналы электронной почты, доступ к которым не был ограничен. Тем самым создавалась лазейка для захвата всей административной панели сайта без необходимости эксплуатации сторонних уязвимостей или физического доступа к серверу.
Информация о проблеме была передана разработчику Saad Iqbal 23 мая. Уже через три дня он предоставил обновлённую реализацию функции get_logs_permission, где реализована полноценная проверка пользовательских прав перед обращением к API. Версия с исправлением — 3.3.0 — была опубликована 11 июня.
Несмотря на наличие обновления, статистика WordPress.org показывает Для просмотра ссылки Войдиили Зарегистрируйся более 51% сайтов до сих пор используют Для просмотра ссылки Войди или Зарегистрируйся . Особенно опасна ситуация у пользователей ветки 2.x — по оценке, около 96 800 сайтов продолжают работать на этих версиях, которые содержат не только CVE-2025-24000, но и другие известные дыры безопасности.
Проблема подчёркивает системную уязвимость экосистемы WordPress, где даже важные обновления безопасности устанавливаются далеко не сразу. Учитывая лёгкость эксплуатации и широкое распространение плагина, можно ожидать, что атаки на незащищённые ресурсы продолжатся и будут всё более массовыми. Устранение угрозы требует немедленного обновления до версии 3.3.0 или выше.
Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Для просмотра ссылки Войди
Post SMTP — это инструмент для надёжной отправки электронной почты с сайтов на WordPress, замещающий встроенную функцию wp_mail(). Свыше 400 тысяч установок делают его одним из самых популярных решений в своей категории. Однако в мае 2025 года специалисты PatchStack получили отчёт о том, что в REST API плагина реализована неверная логика контроля доступа. Вместо проверки прав пользователя система ограничивалась фактом авторизации, что позволило даже посетителям с низкими привилегиями, например подписчикам, обращаться к защищённым данным.
В частности, подписчик мог инициировать сброс пароля администратора и перехватить соответствующее письмо через журналы электронной почты, доступ к которым не был ограничен. Тем самым создавалась лазейка для захвата всей административной панели сайта без необходимости эксплуатации сторонних уязвимостей или физического доступа к серверу.
Информация о проблеме была передана разработчику Saad Iqbal 23 мая. Уже через три дня он предоставил обновлённую реализацию функции get_logs_permission, где реализована полноценная проверка пользовательских прав перед обращением к API. Версия с исправлением — 3.3.0 — была опубликована 11 июня.
Несмотря на наличие обновления, статистика WordPress.org показывает Для просмотра ссылки Войди
Проблема подчёркивает системную уязвимость экосистемы WordPress, где даже важные обновления безопасности устанавливаются далеко не сразу. Учитывая лёгкость эксплуатации и широкое распространение плагина, можно ожидать, что атаки на незащищённые ресурсы продолжатся и будут всё более массовыми. Устранение угрозы требует немедленного обновления до версии 3.3.0 или выше.
- Источник новости
- www.securitylab.ru
