Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20250801-02

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
10.0
Identifikátor
Pluginy redakčného systému WordPress – viacero kritických bezpečnostných zraniteľností
Popis
Vývojári pluginov pre redakčný systém WordPress vydali bezpečnostné aktualizácie svojich produktov, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých je viacero označených ako kritických.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-7443 sa nachádza vo WP plugine BerqWP, spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby, získať úplnú kontrolu nad systémom, eskalovať privilégiá a vykonať škodlivý kód.
Zneužitie niektorých zraniteľností vyžaduje interakciu používateľa.
Dátum prvého zverejnenia varovania
1.8.2025
CVE
CVE-2025-7443, CVE-2025-6441 , CVE-2025-5954, CVE-2024-13507, CVE-2025-6895, CVE-2025-48293, CVE-2025-7847, CVE-2025-6495, CVE-2015-10143, CVE-2025-5947, CVE-2025-7689, CVE-2025-7695, CVE-2025-6989, CVE-2025-7022, CVE-2025-7690, CVE-2025-8198, CVE-2025-6348, CVE-2025-8213, CVE-2024-13418, CVE-2025-6991, CVE-2025-52820, CVE-2025-48298, CVE-2025-49033, CVE-2025-48171, CVE-2025-7725 , CVE-2025-5720
IOC
Zasiahnuté systémy
Affiliate Plus vo všetkých verziách (ukončená podpora)
AI Engine: ChatGPT Chatbot vo verzii staršej ako 2.9.5
Benaa Framework vo verzii staršej ako 4.0.0 (vrátane)
BerqWP vo verzii staršej ako 2.2.44
Bricks Builder vo verzii staršej ako 2.0
Cena Store vo verzii staršej ako 2.11.27
Contest Gallery vo verzii staršej ako 26.1.1
Customer Reviews for WooCommerce vo verzii staršej ako 5.81.0
Dataverse Integration vo verzii staršej ako 2.81.1
Geo Mashup vo verzii staršej ako 1.13.17
GeoDirectory vo verzii staršej ako 2.8.98
Hydra Booking vo verzii staršej ako 1.1.19
KALLYAS vo verzii staršej ako 4.22.0
MelaPress Login Security vo verzii staršej ako 2.2.0
MinimogWP vo verzii staršej ako 3.9.1
My Reservation System vo všetkých verziách (ukončená podpora)
NinjaScanner vo verzii staršej ako 3.2.6
Platform Theme vo verzii staršej ako 1.4.4
ProfileGrid vo verzii staršej ako 5.9.5.4
SEOPress for MainWP vo verzii staršej ako 1.5
Service Finder Bookings vo verzii staršej ako 6.1
Service Finder SMS System vo verzii staršej ako 3.0.0
Smart Slider 3 vo verzii staršej ako 3.5.1.29
WebinarIgnition vo verzii staršej ako 4.03.33
WooCommerce Point Of Sale (POS) vo verzii staršej ako 1.4 (vrátane)
Následky
Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup do systému
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Odporúčame uistiť sa, či Vaše webové stránky a aplikácie založené na redakčnom systéme WordPress nevyužívajú predmetné pluginy v zraniteľných verziách. V prípade, že áno, administrátorom SK-CERT odporúča:
– v prípade, že sa jedná o pluginy s ukončenou podporou, predmetné pluginy odinštalovať,
– v prípade, že sa jedná o pluginy, pre ktoré nie sú v súčasnosti dostupné bezpečnostné aktualizácie, predmetné pluginy až do vydania záplat deaktivovať alebo odinštalovať,
– v prípade, že sa jedná o pluginy, pre ktoré sú dostupné bezpečnostné záplaty, predmetné pluginy aktualizovať,
– vo všetkých prípadoch preveriť logy na prítomnosť pokusov o zneužitie zraniteľností,
– vo všetkých prípadoch preveriť integritu databázy a samotného redakčného systému.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.
Zdroje
https://patchstack.com/database/wordpress/plugin/searchpro/vulnerability/wordpress-berqwp-plugin-2-2-42-unauthenticated-arbitrary-file-upload-vulnerability
https://patchstack.com/database/wordpress/plugin/webinar-ignition/vulnerability/wordpress-webinarignition-plugin-4-03-31-unauthenticated-login-token-generation-to-authentication-bypass-vulnerability
https://patchstack.com/database/wordpress/plugin/aone-sms/vulnerability/wordpress-service-finder-sms-system-plugin-2-0-0-unauthenticated-privilege-escalation-vulnerability
https://patchstack.com/database/wordpress/plugin/geodirectory/vulnerability/wordpress-geodirectory-wp-business-directory-plugin-and-classified-listings-directory-plugin-2-8-97-unauthenticated-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/melapress-login-security/vulnerability/wordpress-melapress-login-security-plugin-2-1-0-2-1-1-authentication-bypass-to-privilege-escalation-via-get-valid-user-based-on-token-function
https://patchstack.com/database/wordpress/plugin/geo-mashup/vulnerability/wordpress-geo-mashup-plugin-1-13-16-local-file-inclusion-vulnerability
https://patchstack.com/database/wordpress/plugin/ai-engine/vulnerability/wordpress-ai-engine-plugin-2-9-3-2-9-4-authenticated-subscriber-arbitrary-file-upload
https://patchstack.com/database/wordpress/theme/bricks/vulnerability/wordpress-bricks-builder-plugin-1-12-4-unauthenticated-sql-injection-via-p-parameter-vulnerability
https://patchstack.com/database/wordpress/theme/platform/vulnerability/wordpress-platform-theme-1-4-4-missing-authorization-to-unauthenticated-arbitrary-options-update-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/sf-booking/service-finder-bookings-60-authentication-bypass-via-user-switch-cookie
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/hydra-booking/hydra-booking-110-1118-missing-authorization-to-authenticated-subscriber-privilege-escalation-via-tfhb-reset-password-callback-function
https://patchstack.com/database/wordpress/plugin/integration-cds/vulnerability/wordpress-dataverse-integration-plugin-2-77-2-81-missing-authorization-to-authenticated-subscriber-privilege-escalation
https://patchstack.com/database/wordpress/theme/kallyas/vulnerability/wordpress-kallyas-theme-4-21-0-authenticated-contributor-arbitrary-folder-deletion-vulnerability
https://patchstack.com/database/wordpress/plugin/my-reservation-system/vulnerability/wordpress-my-reservation-system-plugin-2-3-reflected-xss-vulnerability
https://patchstack.com/database/wordpress/plugin/affiliate-plus/vulnerability/wordpress-affiliate-plus-plugin-1-3-2-cross-site-request-forgery-to-stored-cross-site-scripting-vulnerability
https://patchstack.com/database/wordpress/theme/minimog/vulnerability/wordpress-minimogwp-theme-3-9-0-unauthenticated-price-manipulation-vulnerability
https://patchstack.com/database/wordpress/plugin/smart-slider-3/vulnerability/wordpress-smart-slider-3-plugin-3-5-1-28-authenticated-administrator-sql-injection-via-sliderid-parameter-vulnerability
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninjascanner/ninjascanner-virus-malware-scan-325-authenticated-administrator-arbitrary-file-deletion
https://patchstack.com/database/wordpress/plugin/benaa-framework/vulnerability/wordpress-benaa-framework-plugin-4-0-0-authenticated-subscriber-arbitrary-file-upload
https://patchstack.com/database/wordpress/theme/kallyas/vulnerability/wordpress-kallyas-theme-4-21-0-authenticated-contributor-local-file-inclusion-vulnerability
https://patchstack.com/database/wordpress/plugin/woo-point-of-salepos/vulnerability/wordpress-woocommerce-point-of-sale-pos-1-4-sql-injection-vulnerability
https://patchstack.com/database/wordpress/plugin/seopress-for-mainwp/vulnerability/wordpress-seopress-for-mainwp-1-4-local-file-inclusion-vulnerability
https://patchstack.com/database/wordpress/plugin/profilegrid-user-profiles-groups-and-communities/vulnerability/wordpress-profilegrid-5-9-5-3-sql-injection-vulnerability
https://patchstack.com/database/wordpress/theme/cena/vulnerability/wordpress-cena-store-2-11-26-local-file-inclusion-vulnerability
https://patchstack.com/database/wordpress/plugin/contest-gallery/vulnerability/wordpress-contest-gallery-plugin-26-1-0-unauthenticated-stored-cross-site-scripting-vulnerability
https://patchstack.com/database/wordpress/plugin/customer-reviews-woocommerce/vulnerability/wordpress-customer-reviews-for-woocommerce-plugin-5-80-2-unauthenticated-stored-cross-site-scripting-via-author-parameter-vulnerability

« Späť na zoznam