Перейти к содержимому

Критическая уязвимость в WordPress: более 10 000 сайтов подвергаются атакам хакеров

Согласно последним отчетам о кибербезопасности, в плагине GiveWP Donation Plugin для WordPress обнаружена уязвимость, обозначенная как CVE-2025-0912. Этот недостаток затрагивает более 100 000 веб-сайтов, позволяя злоумышленникам осуществлять атаки с удаленным выполнением кода (RCE — Remote Code Execution).

Данная уязвимость имеет критический рейтинг 9.8 по шкале CVSS, что свидетельствует о ее высокой степени опасности. По словам экспертов по безопасности, проблема возникла из-за некорректной обработки пользовательских данных в формах для пожертвований. Эта ошибка позволяет хакерам внедрять PHP-объекты с помощью инъекции, используя цепочку POP (Property-Oriented Programming) для полного захвата сервера.

Уязвимость расположена в параметре card_address плагина GiveWP. Версии до 3.19.4 включительно не проверяют и не фильтруют передаваемые данные, что делает возможной PHP Object Injection (CWE-502).

Функция give_process_donation_form() десериализует пользовательский ввод без должной проверки, что позволяет злоумышленникам создавать полезные нагрузки, запускающие произвольные PHP-объекты.

Цепочки POP позволяют хакерам выполнять системные команды, удалять файлы, создавать новых администраторов, а также внедрять вредоносное ПО, например, для майнинга криптовалют.

Критичность уязвимости заключается в том, что она обходит защитные механизмы WordPress и может быть использована без аутентификации любым внешним атакующим.

🔴 Возможные последствия успешной атаки:

  • Удаление важных файлов, включая wp-config.php
  • Кража учетных данных базы данных
  • Установка бэкдоров и несанкционированный доступ к сайту
  • Компрометация личных и финансовых данных доноров
  • Дефейсинг страниц или внедрение вредоносного кода
  • Перенаправление пожертвований хакерам или использование в мошеннических схемах

Плагин GiveWP активно используется некоммерческими организациями, религиозными общинами и политическими кампаниями, что делает такие атаки особенно опасными из-за возможных финансовых и репутационных потерь.

🔹 Рекомендации для администраторов сайтов:

✔ Немедленно обновить плагин GiveWP до версии 3.20.0 или выше
✔ Проверить журналы серверных запросов на предмет подозрительных POST-запросов к /wp-json/givewp/v3/donations
✔ Настроить Web Application Firewall (WAF) для блокировки сериализованных данных в параметре card_address
✔ Отслеживать изменения файлов и появление новых администраторов
✔ Создать резервную копию базы данных и сменить пароли
✔ Ограничить доступ к формам пожертвований, внедрив CAPTCHA или reCAPTCHA (если обновление пока невозможно)

🔸 На данный момент массовая эксплуатация уязвимости не зафиксирована, но ее простота и эффективность делают ее потенциальной целью для групп, распространяющих вымогательское ПО (ransomware) или майнинговые вирусы.

🔸 По данным компании Defiant, не менее 30% уязвимых сайтов до сих пор не обновлены, что повышает риск атак.

🔸 Специалисты по безопасности WordPress рекомендуют организациям подписываться на уведомления об уязвимостях, включать автоматические обновления и использовать инструменты для предотвращения атак в режиме реального времени.

Уязвимости в сторонних плагинах WordPress остаются одной из главных угроз в сфере интернет-безопасности. Хотя разработчики плагинов регулярно выпускают обновления, владельцы сайтов должны своевременно их устанавливать. В противном случае злоумышленники могут использовать эти бреши для кражи конфиденциальной информации, взлома сайтов и нанесения значительного ущерба.

🔐 Дополнительные меры безопасности:

✅ Загружайте плагины только из официального каталога WordPress
✅ Устанавливайте обновления безопасности без задержек
✅ Используйте системы сканирования вредоносного кода на сайте
✅ Регулярно создавайте резервные копии данных
✅ Включайте двухфакторную аутентификацию для дополнительной защиты

🚀 Защитите свой сайт на WordPress — киберпреступники не спят!