SK-CERT Bezpečnostné varovanie V20250801-02
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
10.0 |
Identifikátor |
Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností |
Popis |
Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-7443 sa nachádza vo WP plugine BerqWP, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, získať úplnú kontrolu nad systémom, eskalovať privilégiá a vykonať škodlivý kód. Zneužitie niektorých zraniteľností vyžaduje interakciu používateľa. |
Dátum prvého zverejnenia varovania |
1.8.2025 |
CVE |
CVE-2025-7443, CVE-2025-6441 , CVE-2025-5954, CVE-2024-13507, CVE-2025-6895, CVE-2025-48293, CVE-2025-7847, CVE-2025-6495, CVE-2015-10143, CVE-2025-5947, CVE-2025-7689, CVE-2025-7695, CVE-2025-6989, CVE-2025-7022, CVE-2025-7690, CVE-2025-8198, CVE-2025-6348, CVE-2025-8213, CVE-2024-13418, CVE-2025-6991, CVE-2025-52820, CVE-2025-48298, CVE-2025-49033, CVE-2025-48171, CVE-2025-7725 , CVE-2025-5720 |
IOC |
– |
Zasiahnuté systémy |
Affiliate Plus vo všetkých verziách (ukončená podpora) AI Engine: ChatGPT Chatbot vo verzii staršej ako 2.9.5 Benaa Framework vo verzii staršej ako 4.0.0 (vrátane) BerqWP vo verzii staršej ako 2.2.44 Bricks Builder vo verzii staršej ako 2.0 Cena Store vo verzii staršej ako 2.11.27 Contest Gallery vo verzii staršej ako 26.1.1 Customer Reviews for WooCommerce vo verzii staršej ako 5.81.0 Dataverse Integration vo verzii staršej ako 2.81.1 Geo Mashup vo verzii staršej ako 1.13.17 GeoDirectory vo verzii staršej ako 2.8.98 Hydra Booking vo verzii staršej ako 1.1.19 KALLYAS vo verzii staršej ako 4.22.0 MelaPress Login Security vo verzii staršej ako 2.2.0 MinimogWP vo verzii staršej ako 3.9.1 My Reservation System vo všetkých verziách (ukončená podpora) NinjaScanner vo verzii staršej ako 3.2.6 Platform Theme vo verzii staršej ako 1.4.4 ProfileGrid vo verzii staršej ako 5.9.5.4 SEOPress for MainWP vo verzii staršej ako 1.5 Service Finder Bookings vo verzii staršej ako 6.1 Service Finder SMS System vo verzii staršej ako 3.0.0 Smart Slider 3 vo verzii staršej ako 3.5.1.29 WebinarIgnition vo verzii staršej ako 4.03.33 WooCommerce Point Of Sale (POS) vo verzii staršej ako 1.4 (vrátane) |
Následky |
Vykonanie škodlivého kódu Eskalácia privilégií Neoprávnený prístup do systému Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča: – v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať, – v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať, – v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať, – vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností, – vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
« Späť na zoznam