WordPress foydalanuvchilari diqqatiga! Kritik zaiflik hujumchilarga veb-sayt ustidan to’liq nazoratni qo’lga kiritish imkonini bermoqda!

WordPress platformasi uchun ishlab chiqilgan miniOrange OAuth Single Sign-On (SSO OAuth Client) plaginida aniqlangan yangi kritik zaiflik millionlab veb-saytlarning xavfsizligiga jiddiy tahdid solmoqda. CVE-2026-57807 identifikatori bilan ro’yxatga olingan ushbu zaiflik CVSS 3.1 baholash tizimi bo’yicha 9.8 ball bilan baholanib, masofadan turib autentifikatsiyasiz hujum uyushtirish imkonini beruvchi eng xavfli zaifliklardan biri sifatida e’tirof etildi.

Zaiflik 2026-yil 9-iyul kuni Patchstack mutaxassislari tomonidan ommaga ma’lum qilindi. Mazkur muammo OWASP Top 10 ro’yxatidagi «Identification and Authentication Failures» (Identifikatsiya va autentifikatsiya mexanizmlaridagi xatoliklar) toifasiga kiradi hamda CWE-288 (Authentication Bypass Using an Alternate Path or Channel), ya’ni muqobil yo’l orqali autentifikatsiyani chetlab o’tish zaifligi sifatida tasniflangan.

Zaiflikning mohiyati

Tekshiruvlar shuni ko’rsatdiki, zaiflik plaginning parolni tiklash (Password Recovery) mexanizmida autentifikatsiya tekshiruvlarining yetarli darajada amalga oshirilmagani sababli yuzaga kelgan.

Natijada tajovuzkor tizimga hech qanday foydalanuvchi ma’lumotlariga ega bo’lmasdan, oldindan ro’yxatdan o’tmagan holda hamda foydalanuvchi ishtirokisiz kirish imkoniyatiga ega bo’lishi mumkin.

Mazkur zaiflikdan muvaffaqiyatli foydalanilgan taqdirda hujumchi:

  • WordPress saytida mavjud istalgan foydalanuvchi, jumladan administrator nomidan tizimga kirishi;
  • administrator huquqlarini qo’lga kiritishi;
  • saytning barcha ma’lumotlariga to’liq kirish huquqiga ega bo’lishi;
  • zararli kod yoki veb-shell joylashtirishi;
  • foydalanuvchilar ma’lumotlarini o’g’irlashi;
  • veb-sayt mazmunini o’zgartirishi yoki zararli sahifalarni joylashtirishi;
  • xosting serverida qo’shimcha zararli faoliyatni amalga oshirishi hamda boshqa tizimlarga hujum uyushtirishi mumkin.

Bunday hujum natijasida axborotning maxfiyligi, yaxlitligi va mavjudligi (CIA triadasi) to’liq izdan chiqishi ehtimoli mavjud.

Ta’sir doirasi

Zaiflik miniOrange OAuth Single Sign-On (SSO OAuth Client) plaginining 38.5.8 va undan oldingi barcha versiyalariga ta’sir ko’rsatadi.

Eng xavotirli jihati shundaki, ushbu hujumni amalga oshirish uchun:

  • autentifikatsiya talab etilmaydi;
  • foydalanuvchi hisobiga ega bo’lish shart emas;
  • foydalanuvchi tomonidan hech qanday harakat bajarilishi talab qilinmaydi;
  • internet orqali masofadan turib ekspluatatsiya qilish mumkin;
  • hujumning murakkablik darajasi juda past.

Shu sababli mazkur zaiflik avtomatlashtirilgan ommaviy hujumlar uchun juda qulay hisoblanadi.

Ommaviy ekspluatatsiya xavfi

Patchstack mutaxassislari ushbu zaiflikni yuqori ustuvorlikdagi xavf sifatida baholab, yaqin kunlarda internetdagi minglab WordPress saytlariga qarshi ommaviy ekspluatatsiya kampaniyalari boshlanishi mumkinligini ta’kidlamoqda.

Kiberjinoyatchilar odatda internet tarmog’ini avtomatik skanerlovchi vositalar yordamida zaif WordPress saytlarini aniqlab, bir vaqtning o’zida minglab resurslarga hujum uyushtirishadi. Bunday hujumlar nafaqat yirik tashkilotlar, balki kichik biznes, ta’lim muassasalari, davlat tashkilotlari hamda shaxsiy veb-saytlar uchun ham birdek xavf tug’diradi.

Hozircha rasmiy yangilanish mavjud emas

Hozirgi vaqtda miniOrange ishlab chiquvchilari tomonidan ushbu zaiflikni bartaraf etuvchi rasmiy xavfsizlik yangilanishi e’lon qilinmagan.

Shu bilan birga, Patchstack foydalanuvchilarni vaqtinchalik himoya qilish maqsadida virtual himoya (Virtual Patch) mexanizmini taqdim etgan bo’lib, undan foydalanayotgan tashkilotlar ekspluatatsiya urinishlarini bloklashi mumkin.

Administratorlarga tavsiyalar

Mazkur xavfni kamaytirish maqsadida quyidagi choralarni zudlik bilan amalga oshirish tavsiya etiladi:

  • agar plagindan foydalanish zarur bo’lmasa, uni darhol o’chirib tashlash;
  • rasmiy xavfsizlik yangilanishi e’lon qilingunga qadar plagindan foydalanishni to’xtatish;
  • WordPress administrator paneli, kirish (Login) va parolni tiklash (Password Recovery) sahifalariga kirishni Web Application Firewall (WAF) yordamida cheklash;
  • imkon qadar administrator sahifalariga faqat ishonchli IP manzillardan kirishga ruxsat berish (IP Allowlisting);
  • administrator hisoblari uchun ko’p faktorli autentifikatsiya (MFA) ni yoqish;
  • WordPress audit jurnallarini muntazam kuzatib borish hamda noma’lum administrator hisoblari yoki shubhali kirish urinishlarini tekshirish;
  • barcha WordPress plaginlari, mavzular (Themes) va yadrosi (Core)ni doimiy ravishda yangilab borish;
  • muntazam zaxira nusxalarini (Backup) yaratish va ularni alohida xavfsiz muhitda saqlash.

WordPress dunyodagi eng ommabop kontent boshqaruv tizimlaridan biri bo’lgani sababli undagi har qanday kritik zaiflik millionlab veb-resurslarga ta’sir ko’rsatishi mumkin. CVE-2026-57807 zaifligi esa autentifikatsiya mexanizmidagi jiddiy kamchilik tufayli hujumchilarga administrator huquqlarini qo’lga kiritish imkonini beradigan o’ta xavfli zaifliklardan biri hisoblanadi.

Rasmiy xavfsizlik yangilanishi e’lon qilinmaguncha ushbu plagindan foydalanayotgan tashkilot va administratorlarga uni vaqtincha o’chirib qo’yish yoki ekspluatatsiyani cheklovchi qo’shimcha himoya choralarini joriy etish tavsiya etiladi. Shuningdek, WordPress ekotizimidagi barcha komponentlarni muntazam ravishda yangilab borish, xavfsizlik monitoringini yo’lga qo’yish va zamonaviy himoya vositalaridan foydalanish kiberxavflarni sezilarli darajada kamaytirishga xizmat qiladi.