Внимание, пользователи WordPress! Критическая уязвимость позволяет злоумышленникам получить полный контроль над веб-сайтом!

Новая критическая уязвимость, обнаруженная в плагине miniOrange OAuth Single Sign-On (SSO OAuth Client) для платформы WordPress, создает серьезную угрозу безопасности миллионов веб-сайтов. Данная уязвимость, зарегистрированная под идентификатором CVE-2026-57807, оценена в 9.8 балла по шкале CVSS 3.1 и признана одной из самых опасных уязвимостей, позволяющих проводить удаленные атаки без аутентификации.

Уязвимость была публично раскрыта специалистами Patchstack 9 июля 2026 года. Данная проблема относится к категории «Identification and Authentication Failures» (Ошибки идентификации и аутентификации) из списка OWASP Top 10 и классифицируется как CWE-288 (Authentication Bypass Using an Alternate Path or Channel) — обход аутентификации с использованием альтернативного пути.

Суть уязвимости

Проверки показали, что уязвимость возникает из-за недостаточной реализации проверок аутентификации в механизме восстановления пароля (Password Recovery) плагина.

В результате злоумышленник может получить доступ к системе без наличия каких-либо учетных данных пользователя, без предварительной регистрации и без участия пользователя.

В случае успешной эксплуатации данной уязвимости злоумышленник может:

  • войти в систему от имени любого существующего пользователя WordPress, включая администратора;
  • получить права администратора;
  • получить полный доступ ко всем данным сайта;
  • разместить вредоносный код или веб-шелл;
  • похитить данные пользователей;
  • изменить содержимое веб-сайта или разместить вредоносные страницы;
  • осуществлять вредоносную деятельность на хостинг-сервере и атаковать другие системы.

В результате такой атаки могут быть полностью нарушены конфиденциальность, целостность и доступность информации (триада CIA).

Область воздействия

Уязвимость затрагивает все версии плагина miniOrange OAuth Single Sign-On (SSO OAuth Client) до 38.5.8 включительно.

Наиболее тревожным аспектом является то, что для осуществления этой атаки:

  • не требуется аутентификация;
  • не нужно иметь учетную запись пользователя;
  • не требуется никаких действий со стороны пользователя;
  • возможна удаленная эксплуатация через Интернет;
  • уровень сложности атаки крайне низок.

Поэтому данная уязвимость очень удобна для автоматизированных массовых атак.

Риск массовой эксплуатации

Специалисты Patchstack оценивают эту уязвимость как угрозу высокого приоритета и отмечают, что в ближайшие дни могут начаться кампании массовой эксплуатации против тысяч сайтов WordPress в Интернете.

Киберпреступники обычно используют инструменты для автоматического сканирования Интернета с целью обнаружения уязвимых сайтов WordPress и атакуют тысячи ресурсов одновременно. Такие атаки представляют одинаковую угрозу как для крупных организаций, так и для малого бизнеса, образовательных учреждений, государственных организаций и частных веб-сайтов.

Официальное обновление пока не выпущено

На данный момент разработчики miniOrange не выпустили официальное обновление безопасности, устраняющее данную уязвимость.

В то же время Patchstack предоставил механизм виртуальной защиты (Virtual Patch) для временной защиты пользователей, и организации, использующие его, могут блокировать попытки эксплуатации.

Рекомендации для администраторов

Для снижения риска рекомендуется незамедлительно принять следующие меры:

  • если плагин не используется, немедленно отключить его;
  • прекратить использование плагина до выхода официального обновления безопасности;
  • ограничить доступ к панели администратора WordPress, страницам входа (Login) и восстановления пароля (Password Recovery) с помощью Web Application Firewall (WAF);
  • по возможности разрешить доступ к страницам администратора только с доверенных IP-адресов (IP Allowlisting);
  • включить многофакторную аутентификацию (MFA) для учетных записей администраторов;
  • регулярно отслеживать журналы аудита WordPress и проверять наличие неизвестных учетных записей администраторов или подозрительных попыток входа;
  • постоянно обновлять все плагины WordPress, темы (Themes) и ядро (Core);
  • регулярно создавать резервные копии (Backup) и хранить их в отдельной защищенной среде.

Заключение

Поскольку WordPress является одной из самых популярных систем управления контентом в мире, любая критическая уязвимость в нем может затронуть миллионы веб-ресурсов. Уязвимость CVE-2026-57807 является одной из самых опасных, поскольку из-за серьезного недостатка в механизме аутентификации она позволяет злоумышленникам получить права администратора.

До выхода официального обновления безопасности организациям и администраторам, использующим этот плагин, рекомендуется временно отключить его или внедрить дополнительные меры защиты, ограничивающие эксплуатацию. Кроме того, регулярное обновление всех компонентов экосистемы WordPress, организация мониторинга безопасности и использование современных средств защиты помогут значительно снизить киберриски.