Elementor plaginidagi xavfli zaiflik – minglab WordPress saytlariga tahdid solmoqda
WordPress ekotizimi bugungi kunda dunyodagi millionlab saytlarning asosiy poydevoriga aylangan. Ammo shuncha yirik ekotizimda kichik bir plagin ichidagi xatolik ham o‘ta katta xavf tug‘dirishi mumkin. So‘nggi kunlarda aynan shunday holat kuzatildi: mashhur “King Addons for Elementor” plagini ichida aniqlangan jiddiy zaiflik minglab saytlar xavfsizligiga putur yetkazmoqda.
CVE-2025-8489 raqami bilan ro‘yxatga olingan ushbu zaiflik 9.8 — Critical darajasi bilan baholanib, uni eng xavfli toifadagi xatarlar qatoriga kiritdi. Eng achinarlisi, ushbu kamchilikdan foydalanish uchun hujumchilarga hech qanday avtorizatsiya kerak emas: ular oddiygina soxta so‘rov yuborib, WordPress saytiga to‘liq administrator huquqi bilan yangi foydalanuvchi yaratishi mumkin.
Zaiflik qanday ishlaydi?
“King Addons for Elementor” plagini 24.12.92 dan boshlab 51.1.14 versiyagacha bo‘lgan barcha nashrlarda ro‘yxatdan o‘tish funksiyasi noto‘g‘ri sozlangan. Ya’ni, plagin yangi foydalanuvchi uchun qaysi rolni tanlash mumkinligini cheklamaydi.
Bundan ustalik bilan foydalangan hujumchi admin-ajax.php orqali yuborilgan maxsus so‘rovda:
user_role=administrator
qatorini ko‘rsatib, hech qanday parol va ruxsatsiz administrator darajasidagi yangi profil yaratib oladi.
Bu esa quyidagi oqibatlarga olib keladi:
- saytdagi barcha kontentni o‘zgartirish;
- zararli plagin yoki mavzularni o‘rnatish;
- yashirin orqa eshiklar (backdoor) qo‘shish;
- sayt mehmonlarini zararli sahifalarga yo‘naltirish;
- spam va fishing kampaniyalarini amalga oshirish.
Qisqa qilib aytganda — to‘liq sayt egallab olinadi.
Hujumlar allaqachon boshlanib ketdi
Zaiflik haqida keng ommaga 2025-yil 30-oktabr kuni ma’lum qilingach, oradan ko‘p o‘tmay hujumchilar faol ekspluatatsiyani boshladi. Wordfence xavfsizlik kompaniyasi o‘z himoya devorlarida bu zaiflik bo‘yicha 48 400 dan ortiq hujum urinishlari qayd etilganini bildirdi.
Eng ko‘p hujum uyushtirgan IP-manzillar:
| IP manzil | Bloklangan so‘rovlar |
|---|---|
| 45.61.157.120 | 28 900+ |
| 2602:fa59:3:424::1 | 16 900+ |
| 182.8.226.228 | 300+ |
| 138.199.21.230 | 100+ |
| 206.238.221.25 | 100+ |
Ayniqsa 2025-yil 9–10-noyabr kunlari hujumlar keskin ko‘paygani kuzatilgan.
Yechim va himoya choralari
Plagin ishlab chiqaruvchisi zaiflikni bartaraf etgan 51.1.35 versiyasini 2025-yil 25-sentabrda chiqardi. Wordfence Premium foydalanuvchilari uchun himoya qoidalari 4-avgustdayoq qo‘llangan bo‘lsa, bepul foydalanuvchilar 3-sentabrdan boshlab himoya qamroviga olingan.
Agar siz ushbu plagin o‘rnatilgan saytga ega bo‘lsangiz, quyidagilarni darhol bajaring:
1. Plaginni eng so‘nggi versiyaga yangilang
Zaif bo‘lgan versiyalar: 24.12.92 → 51.1.14
Patch o‘rnatilgan versiya: 51.1.35
2. Administratorlar ro‘yxatini tekshiring
Noma’lum yoki shubhali profillar bo‘lsa, darhol o‘chirib tashlang.
3. Server loglarini tahlil qiling
Yuqorida ko‘rsatilgan hujumchi IP’lardan kelgan so‘rovlar bo‘lsa — xavf yuqori.
4. Kontent, plaginlar va mavzular ichida o‘zgarishlar bor-yo‘qligini tekshiring
5. Agar saytga bostirib kirilgan bo‘lsa, mutaxassislarga murojaat qiling
Professional “incident response” xizmatlari zarur bo‘lishi mumkin.
“King Addons for Elementor” plaginida aniqlangan bu xavf — WordPress ekotizimidagi har qanday kichik xatolik butun sayt xavfsizligini izdan chiqarishi mumkinligini yana bir bor isbotladi. Hujumchilarning faol ekspluatatsiya boshlagani, o‘nlab minglab urinishlar qayd etilgani — masalaning naqadar jiddiy ekanidan dalolat.
Shu bois sayt egalari imkon qadar tezroq yangilanish o‘rnatishi, xavfsizlik tizimlarini kuchaytirishi va loglarni doimiy monitoring qilishni odatga aylantirishi lozim. Vaqtida ko‘rilgan choralar esa potentsial halokatning oldini olishi mumkin.
