Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20250702-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.8
Identifikátor
Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností
Popis
Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú viaceré označené ako kritické.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-6934 sa nachádza vo WP plugine Opal Estate Pro – Property Management and Submission, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi eskalovať svoje privilégiá a následne získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód.
Zneužitie niektorých zraniteľností vyžaduje interakciu zo strany používateľa.
Dátum prvého zverejnenia varovania
2.7.2025
CVE
CVE-2025-6934, CVE-2025-49029, CVE-2025-5746, CVE-2025-4689, CVE-2025-5304, CVE-2025-6464, CVE-2025-6755, CVE-2025-6379, CVE-2025-53338, CVE-2025-53311, CVE-2025-53339, CVE-2025-3848, CVE-2025-4380, CVE-2025-4381, CVE-2025-6459, CVE-2025-6437, CVE-2025-5339, CVE-2025-5817, CVE-2025-4946, CVE-2025-5314, CVE-2025-5014, CVE-2025-6463, CVE-2025-53317, CVE-2025-5692
IOC
Zasiahnuté systémy
Opal Estate Pro – Property Management and Submission vo verzii staršej ako (vrátane) 1.7.5
Custom Login And Signup Widget vo verzii staršej ako (vrátane) 1.0
Drag and Drop Multiple File Upload (Pro) – WooCommerce vo verzii staršej ako 1.7.2 a 5.0.7
Booking calendar, Appointment Booking System vo verzii staršej ako 3.2.18
Ads Pro Plugin – Multi-Purpose WordPress Advertising Manager vo verzii staršej ako (vrátane) 4.89
PT Project Notebooks – Take Meeting minutes, create budgets, track task management, and more vo verzii staršej ako (vrátane) 1.1.3
Forminator Forms – Contact Form, Payment Form & Custom Form Builder vo verzii staršej ako 1.44.3
Game Users Share Buttons vo verzii staršej ako (vrátane) 1.3.0
BeeTeam368 Extensions Pro vo verzii staršej ako 2.3.5
re.place vo verzii staršej ako (vrátane) 0.2.1
Navayan Subscribe vo verzii staršej ako (vrátane) 1.13
Devnex Addons For Elementor vo verzii staršej ako (vrátane) 1.0.9
Download Manager and Payment Form WordPress Plugin – WP SmartPay vo verzii staršej ako (vrátane) 2.7.13
Amazon Products to WooCommerce vo verzii staršej ako (vrátane) 1.2.7
Vikinger vo verzii staršej ako 1.9.33
DearFlip vo verzii staršej ako 2.3.67
Home Villas | Real Estate WordPress Theme vo verzii staršej ako 2.8
WPShapere – WordPress admin theme vo verzii staršej ako 1.4.1
Lead Form Data Collection to CRM vo verzii staršej ako 3.2
Následky
Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča:
– v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať
– v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať
– v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať
– vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností
– vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Zdroje
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/opal-estate-pro/opal-estate-pro-175-unauthenticated-privilege-escalation-via-on-regiser-user
https://patchstack.com/database/wordpress/plugin/custom-login-and-signup-widget/vulnerability/wordpress-custom-login-and-signup-widget-plugin-1-0-arbitrary-code-execution-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/drag-and-drop-file-uploads-wc-pro/drag-and-drop-multiple-file-upload-pro-woocommerce-171-and-50-505-unauthenticated-arbitrary-file-upload
https://patchstack.com/database/wordpress/plugin/booking-calendar/vulnerability/wordpress-booking-calendar-appointment-booking-system-plugin-3-2-17-unauthenticated-time-based-sql-injection-via-wpdevart-id-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-unauthenticated-local-file-inclusion-to-remote-code-execution
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/project-notebooks/pt-project-notebooks-100-113-missing-authorization-to-unauthenticated-privilege-escalation-via-wpnb-pto-new-users-add-function
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/forminator/forminator-forms-contact-form-payment-form-custom-form-builder-1442-unauthenticated-php-object-injection-phar-triggered-via-administrator-form-submission-deletion
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/game-users-share-buttons/game-users-share-buttons-130-authenticated-subscriber-arbitrary-file-deletion-via-themenameid-parameter
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/beeteam368-extensions-pro/beeteam368-extensions-pro-234-authenticated-subscriber-directory-traversal-to-arbitrary-file-deletion
https://patchstack.com/database/wordpress/plugin/replace/vulnerability/wordpress-re-place-plugin-0-2-1-cross-site-request-forgery-csrf-vulnerability
https://patchstack.com/database/wordpress/plugin/navayan-subscribe/vulnerability/wordpress-navayan-subscribe-plugin-1-13-cross-site-request-forgery-csrf-vulnerability
https://patchstack.com/database/wordpress/plugin/devnex-addons-for-elementor/vulnerability/wordpress-devnex-addons-for-elementor-plugin-1-0-9-local-file-inclusion-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/smartpay/download-manager-and-payment-form-wordpress-plugin-wp-smartpay-110-2713-authenticated-subscriber-privilege-escalation-via-account-takeover
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-unauthenticated-local-file-inclusion
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-unauthenticated-sql-injection
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-cross-site-request-forgery-to-php-code-injection-in-bsacreateadtemplate
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-unauthenticated-sql-injection-via-oid
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ap-plugin-scripteo/ads-pro-plugin-multi-purpose-wordpress-advertising-manager-489-unauthenticated-time-based-sql-injection-via-bsa-pro-id
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/import-products-to-wc/amazon-products-to-woocommerce-127-unauthenticated-server-side-request-forgery
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/vikinger/vikinger-1932-authenticated-subscriber-arbitrary-file-deletion-via-vikinger-delete-activity-media-ajax-function
https://patchstack.com/database/wordpress/plugin/3d-flipbook-dflip-lite/vulnerability/wordpress-dearflip-plugin-2-3-65-dom-based-reflected-cross-site-scripting-via-pdf-source-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/homevillas-real-estate/home-villas-real-estate-wordpress-theme-28-authenticated-subscriber-arbitrary-file-deletion
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/forminator/forminator-forms-contact-form-payment-form-custom-form-builder-1442-unauthenticated-arbitrary-file-deletion-triggered-via-administrator-form-submission-deletion
https://patchstack.com/database/wordpress/plugin/wpshapere-lite/vulnerability/wordpress-wpshapere-lite-plugin-1-4-cross-site-request-forgery-csrf-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-leads-builder-any-crm/lead-form-data-collection-to-crm-31-authenticated-subscriber-arbitrary-options-update

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2025 Všetky práva vyhradené - Posledná aktualizácia 01. 09. 2025 13:11