SK-CERT Bezpečnostné varovanie V20250718-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	10.0

Identifikátor

Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností

Popis

Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých sú viaceré označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-7340 sa nachádza vo WP plugine HT Contact Form 7, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie niektorých zraniteľností vyžaduje interakciu používateľa.

Dátum prvého zverejnenia varovania

18.7.2025

CVE

CVE-2025-7340, CVE-2025-7712, CVE-2025-6222, CVE-2025-7643, CVE-2025-5393, CVE-2025-5396, CVE-2025-5394, CVE-2025-7360, CVE-2025-7341, CVE-2025-7340, CVE-2025-54051 , CVE-2021-4458, CVE-2025-6993, CVE-2025-7359, CVE-2025-7667, CVE-2025-6043, CVE-2025-2800, CVE-2025-6718, CVE-2025-6813, CVE-2025-7438, CVE-2025-3740, CVE-2025-53194 , CVE-2021-24910, CVE-2025-48299, CVE-2022-25811, CVE-2022-25812, CVE-2025-6977, CVE-2025-48153, CVE-2025-54043 , CVE-2025-48161 , CVE-2025-48301

IOC

–

Zasiahnuté systémy

aapanel WP Toolkit vo verzii staršej ako 1.1 (vrátane) Alone – Charity Multipurpose Non-profit WordPress Theme vo verzii staršej ako 7.8.7 Attachment Manager vo všetkých verziách (ukončená podpora) B1.lt vo verzii staršej ako 2.2.56 (vrátane) Bears Backup vo verzii staršej ako 2.1.0 Counter live visitors for WooCommerce vo všetkých verziách (ukončená podpora) HT Contact Form 7 vo verzii staršej ako 2.2.2 Import CDN-Remote Images vo verzii staršej ako 2.1.3 JetEngine vo verzii staršej ako 3.7.1.1 LightBox Block vo verzii staršej ako 1.1.31 Madara – Core vo verzii staršej ako 2.2.4 Malcure Malware Scanner vo verzii staršej ako 17.1 MasterStudy LMS Pro vo verzii staršej ako 4.7.10 Modern Events Calendar Lite vo verzii staršej ako 6.4.0 ProfileGrid vo verzii staršej ako 5.9.5.5 Restrict File Access vo všetkých verziách (ukončená podpora) School Management System for WordPress vo verzii staršej ako 1.93.1 (02-07-2025) SMTP for Amazon SES vo verzii staršej ako 1.9.1 SMTP for SendGrid – YaySMTP vo verzii staršej ako 1.5.1 Transposh WordPress Translation vo verzii staršej ako 1.0.9.2 Ultimate WP Mail vo verzii staršej ako 1.3.7 WooCommerce Refund And Exchange with RMA vo verzii staršej ako 3.2.7 WP Event Manager vo verzii staršej ako 3.1.51 YayExtra vo verzii staršej ako 1.5.6 YaySMTP vo verzii staršej ako 1.3.1

Následky

Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby

Odporúčania

Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča: – v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať, – v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať, – v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať, – vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností, – vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.

Zdroje

https://patchstack.com/database/wordpress/plugin/ht-contactform/vulnerability/wordpress-ht-contact-form-widget-for-elementor-page-builder-gutenberg-blocks-form-builder-plugin-2-2-1-unauthenticated-arbitrary-file-upload-vulnerability https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/madara-core/madara-core-223-unauthenticated-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/woocommerce-refund-and-exchange/woocommerce-refund-and-exchange-with-rma-warranty-management-refund-policy-manage-user-wallet-326-unauthenticated-arbitrary-file-upload https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/attachment-manager/attachment-manager-212-unauthenticated-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/alone/alone-charity-multipurpose-non-profit-wordpress-theme-783-missing-authorization-to-unauthenticated-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/bears-backup/bears-backup-200-unauthenticated-remote-code-execution https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/alone/alone-charity-multipurpose-non-profit-wordpress-theme-783-missing-authorization-to-unauthenticated-arbitrary-file-upload-via-plugin-installation https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ht-contactform/ht-contact-form-widget-for-elementor-page-builder-gutenberg-blocks-form-builder-221-directory-traversal-to-arbitrary-file-move https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ht-contactform/ht-contact-form-widget-for-elementor-page-builder-gutenberg-blocks-form-builder-221-unauthenticated-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ht-contactform/ht-contact-form-widget-for-elementor-page-builder-gutenberg-blocks-form-builder-221-unauthenticated-arbitrary-file-upload https://patchstack.com/database/wordpress/plugin/lightbox-block/vulnerability/wordpress-lightbox-block-plugin-1-1-30-cross-site-scripting-xss-vulnerability https://patchstack.com/database/wordpress/plugin/modern-events-calendar-lite/vulnerability/wordpress-modern-events-calendar-lite-plugin-6-3-0-unauthenticated-sql-injection-vulnerability https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ultimate-wp-mail/ultimate-wp-mail-1017-136-missing-authorization-to-authenticated-contributor-privilege-escalation-via-get-email-log-details-function https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/counter-visitor-for-woocommerce/counter-live-visitors-for-woocommerce-136-unauthenticated-arbitrary-file-deletion-in-wcvisitor-get-block https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/restrict-file-access/restrict-file-access-112-cross-site-request-forgery-to-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-malware-removal/malcure-malware-scanner-1-toolset-for-wordpress-malware-removal-168-authenticated-subscriber-arbitrary-file-deletion https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-event-manager/wp-event-manager-3150-unauthenticated-stored-cross-site-scripting-via-organizer-name https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/b1-accounting/b1lt-for-woocommerce-2256-missing-authorization-to-authenticated-subscriber-arbitrary-sql-injection https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/aapanel-wp-toolkit/aapanel-wp-toolkit-10-11-missing-authorization-to-authenticated-subscriber-privilege-escalation-via-auto-login-function https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/masterstudy-lms-learning-management-system-pro/masterstudy-lms-online-courses-elearning-pro-plus-479-authenticated-subscriber-arbitrary-file-upload https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/school-management/school-management-system-for-wordpress-9310-authenticated-subscriber-local-file-inclusion-to-privilege-escalation-via-password-update https://patchstack.com/database/wordpress/plugin/jet-engine/vulnerability/wordpress-jetengine-3-7-0-remote-code-execution-rce-vulnerability https://patchstack.com/database/wordpress/plugin/transposh-translation-filter-for-wordpress/vulnerability/wordpress-transposh-wordpress-translation-plugin-1-0-7-reflected-cross-site-scripting-via-tp-tp-vulnerability https://patchstack.com/database/wordpress/plugin/yayextra/vulnerability/wordpress-yayextra-plugin-1-5-5-sql-injection-vulnerability https://patchstack.com/database/wordpress/plugin/transposh-translation-filter-for-wordpress/vulnerability/wordpress-transposh-wordpress-translation-plugin-1-0-8-1-authenticated-admin-sql-injection-via-tp-editor-vulnerability https://patchstack.com/database/wordpress/plugin/transposh-translation-filter-for-wordpress/vulnerability/wordpress-transposh-wordpress-translation-plugin-1-0-8-1-remote-code-execution-vulnerability https://patchstack.com/database/wordpress/plugin/profilegrid-user-profiles-groups-and-communities/vulnerability/wordpress-profilegrid-plugin-5-9-5-4-reflected-cross-site-scripting-via-pm-get-messenger-notification-function-vulnerability https://patchstack.com/database/wordpress/plugin/import-cdn-remote-images/vulnerability/wordpress-import-cdn-remote-images-plugin-2-1-2-cross-site-request-forgery-csrf-vulnerability https://patchstack.com/database/wordpress/plugin/smtp-amazon-ses/vulnerability/wordpress-smtp-for-amazon-ses-plugin-1-9-sql-injection-vulnerability https://patchstack.com/database/wordpress/plugin/smtp-sendinblue/vulnerability/wordpress-yaysmtp-plugin-1-3-sql-injection-vulnerability https://patchstack.com/database/wordpress/plugin/smtp-sendgrid/vulnerability/wordpress-smtp-for-sendgrid-yaysmtp-plugin-1-5-sql-injection-vulnerability

« Späť na zoznam