SK-CERT Bezpečnostné varovanie V20250408-04
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| Pluginy redakčného systému WordPress – dve kritické bezpečnostné zraniteľnosti |
| Popis |
| Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú viaceré označené ako kritické. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-2941 sa nachádza v plugine Drag and Drop Multiple File Upload for WooCommerce, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie zraniteľností s identifikátorom CVE-2025-0810 a CVE-2025-3064 vyžaduje interakciu zo strany používateľa. |
| Dátum prvého zverejnenia varovania |
| 8.4.2025 |
| CVE |
| CVE-2019-25223, CVE-2024-13604, CVE-2024-13776, CVE-2025-0810, CVE-2025-1264, CVE-2025-2004, CVE-2025-2525, CVE-2025-2525, CVE-2025-2526, CVE-2025-2807, CVE-2025-2933, CVE-2025-2941, CVE-2025-3064, CVE-2025-3430, CVE-2025-3431, CVE-2025-3436 |
| IOC |
| – |
| Zasiahnuté systémy |
| Drag and Drop Multiple File Upload for WooCommerce vo verzii staršej ako 1.1.5 Simple WP Events vo verzii staršej ako (vrátane) 1.8.17 Streamit vo verzii staršej ako 4.0.3 ZoomSounds – WordPress Wave Audio Player with Playlist vo verzii staršej ako (vrátane) 6.91 Email Notifications for Updates vo verzii staršej ako 1.2.0 Motors – Car Dealership & Classified Listings Plugin vo verzii staršej ako 1.4.65 Broken Link Checker vo verzii staršej ako 1.2.4 coreActivity: Activity Logging plugin for WordPress vo verzii staršej ako 2.7.1 WPFront User Role Editor vo verzii staršej ako 4.2.2 KB Support – Customer Support Ticket & Helpdesk Plugin, Knowledge Base Plugin vo verzii staršej ako (vrátane) 1.7.4 Read More & Accordion vo verzii staršej ako (vrátane) 3.4.5 Team Circle Image Slider With Lightbox vo verzii staršej ako 1.0.5 3DPrint Lite vo verzii staršej ako 2.1.3.7 ZoomSounds – WordPress Wave Audio Player with Playlist vo verzii staršej ako (vrátane) 6.91 |
| Následky |
| Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča: – v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať – v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať – vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností – vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam
