SK-CERT Bezpečnostné varovanie V20250707-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
10.0
Identifikátor
Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností
Popis
Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú viaceré označené ako kritické.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-5746 sa nachádza vo WP plugine Drag and Drop Multiple File Upload (Pro), spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód.
Zneužitie niektorých zraniteľností vyžaduje interakciu používateľa.
Dátum prvého zverejnenia varovania
7.7.2025
CVE
CVE-2025-5746, CVE-2025-49414, CVE-2025-52833, CVE-2025-52832, CVE-2025-5961, CVE-2024-13786 , CVE-2025-23968, CVE-2025-6586, CVE-2025-28951, CVE-2025-48300, CVE-2025-5322, CVE-2024-9017, CVE-2025-28969, CVE-2025-6238, CVE-2025-28980, CVE-2025-28967, CVE-2025-30947, CVE-2025-30969, CVE-2025-30979, CVE-2025-6783, CVE-2025-6739 , CVE-2025-6041, CVE-2025-6814, CVE-2025-49070, CVE-2025-47627, CVE-2025-2932, CVE-2025-5953, CVE-2025-6782, CVE-2025-52813
IOC
Zasiahnuté systémy
AI Engine: ChatGPT Chatbot vo verzii staršej ako 2.8.5
AiBud WP vo verzii staršej ako 1.8.5 (vrátane)
Aviation Weather from NOAA vo všetkých verziách (ukončená podpora)
Booking X vo verzii staršej ako 1.1.2 (vrátane)
Bulk Featured Image vo verzii staršej ako 1.2.2 (vrátane)
Contact Us page vo verzii staršej ako 3.7.4 (vrátane)
Cool fade popup vo všetkých verziách (ukončená podpora)
Download vo verzii staršej ako 2.2.9
Drag and Drop Multiple File Upload (Pro) vo verzii staršej ako 1.7.2 a 5.0.7
Education Center vo verzii staršej ako 3.6.11
Elessi vo verzii staršej ako 6.4.1
FW Gallery vo verzii staršej ako 8.0.0 (vrátane)
Gallery Widget vo verzii staršej ako 1.2.1 (vrátane)
GoZen Forms vo verzii staršej ako 1.1.5 (vrátane)
GoZen Forms vo všetkých verziách (ukončená podpora)
Groundhogg vo verzii staršej ako 4.2.2
iFrame Images Gallery vo všetkých verziách (ukončená podpora)
JKDEVKIT vo verzii staršej ako 1.9.4 (vrátane)
LMS vo verzii staršej ako 9.1 (vrátane)
MobiLoud vo verzii staršej ako 4.6.5 (vrátane)
NGG Smart Image Search vo verzii staršej ako 3.4.3
PeepSo Core: Groups vo verzii staršej ako 6.4.6.1
Pixelating image slideshow gallery vo všetkých verziách (ukončená podpora)
PrivateContent vo verzii staršej ako 2.3.2 (vrátane)
VikRentCar vo verzii staršej ako 1.4.4
WP Human Resource Management vo verzii staršej ako 2.2.17 (vrátane)
WPQuiz vo všetkých verziách (ukončená podpora)
WPvivid Backup and Migration vo verzii staršej ako 0.9.117
yContributors vo verzii staršej ako 0.5 (vrátane)
Následky
Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča:
– v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať,
– v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať,
– v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať,
– vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností,
– vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Zdroje
https://patchstack.com/database/wordpress/plugin/drag-and-drop-file-uploads-wc-pro/vulnerability/wordpress-drag-and-drop-multiple-file-upload-pro-woocommerce-plugin-1-7-1-5-0-5-0-5-unauthenticated-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/fw-gallery/vulnerability/wordpress-fw-gallery-8-0-0-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/theme/lms/vulnerability/wordpress-lms-9-1-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/ngg-smart-image-search/vulnerability/wordpress-ngg-smart-image-search-3-4-1-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/wpvivid-backuprestore/vulnerability/wordpress-migration-backup-staging-wpvivid-backup-migration-plugin-0-9-116-authenticated-administrator-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/theme/education/vulnerability/wordpress-education-center-theme-3-6-10-php-object-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/aibuddy-openai-chatgpt/vulnerability/wordpress-aibud-wp-plugin-1-8-5-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/download-plugin/vulnerability/wordpress-download-plugin-plugin-2-2-8-authenticated-administrator-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/bulk-featured-image/vulnerability/wordpress-bulk-featured-image-plugin-1-2-1-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/groundhogg/vulnerability/wordpress-groundhogg-4-2-1-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/vikrentcar/vulnerability/wordpress-vikrentcar-car-rental-management-system-plugin-1-4-3-authenticated-administrator-arbitrary-file-upload-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/peepso-groups/peepso-core-groups-6460-authenticated-subscriber-stored-cross-site-scripting-via-group-description
https://patchstack.com/database/wordpress/plugin/gallery-widget/vulnerability/wordpress-gallery-widget-plugin-1-2-1-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-2-8-4-insecure-oauth-implementation-vulnerability
https://patchstack.com/database/wordpress/plugin/aviation-weather-from-noaa/vulnerability/wordpress-aviation-weather-from-noaa-0-7-2-arbitrary-file-deletion-vulnerability
https://patchstack.com/database/wordpress/plugin/contact-us-page-contact-people/vulnerability/wordpress-contact-us-page-contact-people-lite-plugin-3-7-4-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/cool-fade-popup/vulnerability/wordpress-cool-fade-popup-plugin-10-1-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/wp-iframe-images-gallery/vulnerability/wordpress-iframe-images-gallery-plugin-9-0-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/pixelating-image-slideshow-gallery/vulnerability/wordpress-pixelating-image-slideshow-gallery-plugin-8-0-sql-injection-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/gozen-forms/gozen-forms-115-unauthenticated-sql-injection-via-emdedsc
https://patchstack.com/database/wordpress/plugin/wpquiz/vulnerability/wordpress-wpquiz-plugin-0-4-2-authenticated-contributor-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/ycontributors/vulnerability/wordpress-ycontributors-plugin-0-5-cross-site-request-forgery-to-stored-cross-site-scripting-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/booking-x/booking-x-10-112-missing-authorization-to-unauthenticated-sensitive-information-disclosure-via-export-now-function
https://patchstack.com/database/wordpress/theme/elessi-theme/vulnerability/wordpress-elessi-6-4-1-local-file-inclusion-vulnerability
https://patchstack.com/database/wordpress/plugin/private-content-mail-actions/vulnerability/wordpress-privatecontent-mail-actions-plugin-2-3-2-local-file-inclusion-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/jkdevkit/jkdevkit-194-authenticated-subscriber-arbitrary-file-deletion
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/hrm/wp-human-resource-management-200-2217-missing-authorization-to-authenticated-employee-privilege-escalation-via-wp-ajax-hrm-insert-employee-ajax-action
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/gozen-forms/gozen-forms-115-unauthenticated-sql-injection-via-dirgzactiveform
https://patchstack.com/database/wordpress/plugin/mobiloud-mobile-app-plugin/vulnerability/wordpress-mobiloud-4-6-5-broken-access-control-vulnerability

« Späť na zoznam