Luka w zabezpieczeniach umożliwiająca ominięcie autoryzacji wtyczki WordPress Service Finder w ramach aktywnej eksploatacji
Właściciele witryn korzystający z motywu WordPress Service Finder i dołączonej do niego wtyczki Bookings muszą natychmiast zaktualizować swoje oprogramowanie, ponieważ cyberprzestępcy wykorzystują obecnie poważną lukę w zabezpieczeniach. Ten krytyczny problem pozwala nieupoważnionym osobom przejąć pełną kontrolę nad zagrożonymi witrynami.
Luka, oznaczona kodem CVE-2025-5947 , to obejście uwierzytelniania, co oznacza, że haker może ominąć ekran logowania bez ważnego hasła. Eksperci ds. bezpieczeństwa przyznali tej luce bardzo wysoką ocenę powagi – 9,8 na 10.
Problem tkwi w sposobie, w jaki wtyczka Service Finder Bookings obsługuje funkcję przełączania kont. Atakujący odkryli, że mogą to wykorzystać, wysyłając żądanie do witryny, jednocześnie fałszywie dołączając plik cookie (niewielki fragment ukrytych danych), który identyfikuje ich jako administratora witryny. Wtyczka nie sprawdzała prawidłowo, czy te dane identyfikacyjne są prawdziwe, czy fałszywe.
To niedopatrzenie pozwala każdemu hakerowi (nawet temu, który nie ma konta na stronie) na oszukanie systemu i zalogowanie go jako dowolnego użytkownika, w tym administratora strony. Po zalogowaniu się jako administrator może on wstrzyknąć szkodliwy kod, kierować odwiedzających na fałszywe strony internetowe, a nawet wykorzystać stronę do hostowania złośliwego oprogramowania.
Luka została pierwotnie odkryta przez badacza o pseudonimie Foxyyy i zgłoszona do programu Wordfence Bug Bounty. Wordfence, wiodąca firma zajmująca się bezpieczeństwem WordPressa, ułatwiła odpowiedzialny proces ujawniania i opublikowała szczegóły, w tym nazwisko badacza, na swojej platformie.
Według wpisu na blogu Wordfence, problem dotyczy wszystkich wersji motywu, aż do wersji 6.0 włącznie. Twórcy motywu szybko wydali poprawkę w wersji 6.1 17 lipca 2025 roku. Później jednak okazało się, że pomimo dostępności poprawki, atakujący zaczęli aktywnie wykorzystywać lukę niemal natychmiast, począwszy od 1 sierpnia 2025 roku.
Co więcej, od tej daty wykryto ponad 13 800 prób wykorzystania tej luki. Motyw Service Finder został zakupiony przez ponad 6000 klientów, co oznacza, że tysiące stron internetowych nadal może być zagrożonych.
Administratorzy witryny są zdecydowanie proszeni o natychmiastową aktualizację motywu i wtyczki Service Finder do wersji 6.1 lub nowszej. Warto zauważyć, że w przypadku użytkowników oprogramowania zabezpieczającego, takiego jak zapora sieciowa Wordfence, wiele z tych prób ataków zostało zablokowanych. Dzieje się tak, ponieważ zapora sieciowa wykrywa złośliwe, fałszywe dane plików cookie używane przez atakującego i natychmiast blokuje żądanie, zanim dotrze ono do podatnej na ataki części witryny.
Jednak aktualizacja oprogramowania pozostaje najlepszą i najskuteczniejszą metodą obrony przed tego typu nieautoryzowanym dostępem.
„Nie można zignorować oczywistego déjà vu, jakim jest kolejna krytyczna luka w zabezpieczeniach WordPressa, ponieważ atakujący coraz częściej automatyzują wykorzystywanie popularnych wtyczek CMS w celu uzyskania trwałego dostępu do infrastruktury internetowej ” — powiedział Gunter Ollmann, dyrektor ds. technologii w Cobalt.
„Po dostaniu się do środka, przeciwnicy mogą zacząć rozpowszechniać złośliwe oprogramowanie, kraść dane uwierzytelniające lub wykorzystywać zainfekowane witryny w większych botnetach” – ostrzegł Ollmann. „ Dostępność ekosystemu WordPress czyni go głównym celem ataków, a biorąc pod uwagę tak wiele luk w zabezpieczeniach, takich jak ta, na przestrzeni lat, zespoły ds. bezpieczeństwa powinny traktować tę usługę jako niewiarygodną i wzmocnić systemy wokół niej, aby chronić krytyczne dane i połączone systemy”.
HackRead
