WordPress saytlarida jiddiy zaiflik aniqlandi: TheGem shabloni orqali xakerlar masofadan kod ishga tushirishi mumkin

Bugungi kunda 82 mingdan ortiq saytlar tomonidan foydalanilayotgan TheGem nomli premium WordPress shablonida xavfli zaifliklar aniqlangani internet foydalanuvchilari orasida jiddiy xavotirga sabab bo‘lmoqda.

Xavfsizlik tadqiqotchilarining aniqlashicha, TheGem shablonining 5.10.3 va undan oldingi versiyalarida mavjud bo‘lgan ikki alohida, ammo o‘zaro bog‘liq zaiflikni birgalikda ishlatgan holda xakerlar saytga masofadan turib zararli PHP kodini yuklab, uni ishga tushirishi va to‘liq boshqaruvni qo‘lga olishi mumkin.

📂 Fayl yuklash zaifligi – CVE-2025-4317

Ushbu zaiflik WordPress shablonining thegem_get_logo_url() funksiyasida fayl turini tekshirish mexanizmi yo‘qligi sababli yuzaga keladi. Bu esa saytga kirish huquqiga ega oddiy obunachi (subscriber) darajasidagi foydalanuvchining ham serverga istalgan faylni, jumladan, zararli PHP fayllarni yuklashiga imkon beradi.

Yuklangan fayllar odatda WordPress’ning uploads katalogida saqlanadi — bu papka esa odatda jamoatchilik uchun ochiq bo‘ladi. Shunday ekan, xakerlar yuklangan faylga havola orqali osongina murojaat qilib, zararli kodni ishga tushirishi mumkin.

⚙️ Shablon sozlamalarini o‘zgartirish zaifligi – CVE-2025-4339

Bu zaiflik ajaxApi() funksiyasida ruxsatni tekshirish mexanizmining sustligi sababli yuzaga keladi. Garchi funksiyada «nonce» tekshiruvi mavjud bo‘lsa-da, foydalanuvchining real imkoniyatlari tekshirilmaydi. Natijada, oddiy foydalanuvchi ham shablon sozlamalarini, jumladan, logotip havolasini istalgan manzilga — hatto zararli PHP fayliga — yo‘naltirishi mumkin.

🧨 Xujum zanjiri qanday ishlaydi?

Tadqiqotchilar quyidagicha xavfli hujum ssenariysini keltirishmoqda:

  1. Xaker obunachi sifatida saytga kiradi.
  2. CVE-2025-4339 zaifligi orqali logotip havolasini zararli PHP fayliga yo‘naltiradi.
  3. thegem_get_logo_url() funksiyasi avtomatik tarzda bu faylni yuklab, saqlaydi.
  4. So‘ngra xaker ushbu faylga havola orqali murojaat qilib, serverda o‘z kodini ishga tushiradi.

🛠 Zudlik bilan amal qilish zarur!

Wordfence xavfsizlik jamoasi ushbu zaifliklarni CodexThemes ishlab chiquvchilariga ma’lum qilgan va ular 2025-yil 7-may kuni zaifliklar tuzatilgan 5.10.3.1 versiyasini e’lon qilishgan.

Mutaxassislar quyidagi choralarni ko‘rishni qat’iy tavsiya qilmoqda:

  • TheGem shablonini 5.10.3.1 yoki undan yangi versiyaga yangilang;
  • Saytingizga veb-ilovalar xavfsizlik devorini (WAF) o‘rnating;
  • Foydalanuvchi rollari va ruxsatlarini tekshirib chiqing;
  • Server loglarini kuzatib, shubhali faoliyatlarni aniqlang.

Wordfence Premium foydalanuvchilari ushbu xujumlarga qarshi himoyani 2025-yil 5-maydan boshlab olgan bo‘lsa, bepul foydalanuvchilar esa iyun oyida avtomatik himoyaga ega bo‘lishadi.

Dunyo bo‘yicha barcha vebsaytlarning deyarli 43 foizi WordPress platformasida ishlayotgani inobatga olinsa, mashhur shablonlardagi zaifliklar global darajadagi xavfsizlik tahdidini keltirib chiqarishi mumkin. Bu hodisa foydalanuvchilarga yana bir bor muntazam yangilanish, foydalanuvchi ruxsatlarini ehtiyotkorlik bilan boshqarish va xavfsizlikni ta’minlovchi qo‘shimcha choralarni ko‘rish muhimligini eslatib turadi.