WordPress saytlariga qarshi ommaviy hujumlar boshlandi: Everest Forms Pro plagini orqali serverlarda zararli kodlar ishga tushirilmoqda

WordPress ekotizimida yana bir jiddiy xavfsizlik muammosi aniqlandi. Kiberxavfsizlik mutaxassislari Everest Forms Pro plagini tarkibidagi kritik zaiflikdan keng ko‘lamda foydalanilayotganini ma’lum qildi. Ushbu zaiflik hujumchilarga autentifikatsiyadan o‘tmasdan turib veb-serverda ixtiyoriy PHP kodlarini ishga tushirish imkonini beradi.

CVE-2026-3300 identifikatori bilan qayd etilgan mazkur zaiflik CVSS baholash tizimi bo‘yicha 9,8 ball bilan baholangan bo‘lib, eng yuqori darajadagi xavflardan biri hisoblanadi. Mutaxassislarning ta’kidlashicha, zaiflik allaqachon real kiberhujumlarda faol ekspluatatsiya qilinmoqda va minglab WordPress saytlarini xavf ostida qoldirmoqda.

Zaiflik haqida umumiy ma’lumot

Everest Forms Pro WordPress platformasida turli shakllar (formalar) yaratish uchun mo‘ljallangan ommabop plaginlardan biri hisoblanadi. U ro‘yxatdan o‘tish shakllari, aloqa formasi, so‘rovnomalar va boshqa interaktiv elementlarni yaratishda keng qo‘llaniladi.

Aniqlangan zaiflik plaginning «Complex Calculation» funksiyasida mavjud bo‘lib, u foydalanuvchi tomonidan kiritilgan ma’lumotlar asosida matematik hisob-kitoblarni bajarish imkonini beradi.

Muammo shundaki, ushbu funksiya foydalanuvchi tomonidan yuborilgan ma’lumotlarni noto‘g‘ri qayta ishlaydi va ayrim hollarda ularni PHP kodi sifatida bajarishi mumkin.

Natijada hujumchi maxsus tayyorlangan so‘rov yuborish orqali serverda o‘zining zararli buyruqlarini ishga tushirish imkoniyatiga ega bo‘ladi.

Zaiflik qanday ishlaydi?

Zaiflik plagin tarkibidagi process_filter() funksiyasi bilan bog‘liq.

Mazkur funksiya foydalanuvchi kiritgan qiymatlarni birlashtirib, dinamik tarzda PHP kod hosil qiladi va keyinchalik uni eval() funksiyasi yordamida bajaradi.

Dasturlash amaliyotida eval() funksiyasi eng xavfli funksiyalardan biri hisoblanadi. Chunki u matn ko‘rinishidagi ma’lumotlarni to‘g‘ridan-to‘g‘ri kod sifatida bajaradi.

Plaginda foydalanuvchi ma’lumotlari qisman tekshirilgan bo‘lsa-da, ayrim maxsus belgilar yetarli darajada filtrlab tashlanmagan.

Natijada hujumchi:

• forma maydonlariga maxsus qiymatlar kiritishi;
• yaratilayotgan PHP kod tuzilishini buzishi;
• o‘z buyruqlarini qo‘shishi;
• serverda zararli kodlarni ishga tushirishi mumkin.

Eng xavotirli jihati shundaki, ushbu hujumni amalga oshirish uchun tizimga kirish talab etilmaydi. Zaiflik internet orqali ochiq bo‘lgan oddiy forma maydonlari orqali ekspluatatsiya qilinishi mumkin.

Hujumchilar nimalarga erishmoqda?

Tadqiqotchilar tomonidan qayd etilgan hujumlar tahlili shuni ko‘rsatdiki, aksariyat hujumchilar dastlab administrator huquqlariga ega yashirin foydalanuvchi hisoblarini yaratishga urinmoqda.

Aniqlangan hujumlarning bir qismida hujumchilar WordPress’ning wp_insert_user() funksiyasidan foydalanib yangi administrator hisoblarini yaratgan.

Xususan, ayrim hujumlarda «diksimarina» nomli administrator hisobini yaratishga qaratilgan urinishlar kuzatilgan.

Administrator huquqi qo‘lga kiritilgach, hujumchilar:

• zararli plaginlar o‘rnatishi;
• webshell joylashtirishi;
• sayt tarkibini o‘zgartirishi;
• orqa eshiklar (Backdoor) yaratishi;
• foydalanuvchilar ma’lumotlarini o‘g‘irlashi;
• server orqali boshqa hujumlarni amalga oshirishi mumkin.

Bu esa saytning to‘liq komprometatsiya qilinishiga olib keladi.

Hujumlar qanchalik keng tarqalgan?

Wordfence mutaxassislarining ma’lumotlariga ko‘ra, zaiflik ommaga e’lon qilingandan so‘ng hujumchilar juda tez harakat qilgan.

• Zaiflik 2026-yil 30-mart kuni oshkor qilingan.
• Xavfsizlik yangilanishi 2026-yil 18-mart kuni chiqarilgan.
• Faol ekspluatatsiya holatlari esa 2026-yil 13-apreldan boshlab qayd etilgan.

Wordfence himoya tizimlari tomonidan:

• 29 300 dan ortiq hujum urinishlari bloklangan;
• faqat 16-may kunining o‘zida 17 900 dan ortiq ekspluatatsiya urinishlari qayd etilgan.

Bu ko‘rsatkichlar zaiflik kiberjinoyatchilar orasida keng tarqalganini va avtomatlashtirilgan hujum kampaniyalarida faol qo‘llanilayotganini ko‘rsatadi.

Nima uchun bu zaiflik juda xavfli?

Mazkur zaiflik bir nechta omillar sababli alohida xavf tug‘diradi:

Autentifikatsiya talab qilinmaydi

Hujumchi saytga kirish ma’lumotlariga ega bo‘lishi shart emas.

Masofadan ekspluatatsiya qilinadi

Hujum internet orqali istalgan joydan amalga oshirilishi mumkin.

Server darajasida kod bajariladi

Hujumchi veb-serverda o‘z buyruqlarini ishga tushirishi mumkin.

To‘liq nazoratga olib kelishi mumkin

Administrator hisoblari yaratilishi yoki webshell joylashtirilishi natijasida sayt ustidan to‘liq nazorat qo‘lga olinadi.

Komprometatsiya alomatlari

Administratorlar quyidagi holatlarga alohida e’tibor qaratishlari kerak:

• noma’lum administrator hisoblarining paydo bo‘lishi;
• kutilmagan foydalanuvchi rollari o‘zgarishi;
• admin-ajax.php manziliga yuborilgan noodatiy POST so‘rovlari;
• server jurnalida noma’lum IP manzillardan ko‘p sonli murojaatlar;
• yangi PHP fayllarining paydo bo‘lishi;
• sayt tarkibining ruxsatsiz o‘zgartirilishi.

Ayniqsa noma’lum administrator foydalanuvchilar aniqlansa, zudlik bilan xavfsizlik tekshiruvi o‘tkazish tavsiya etiladi.

Himoyalanish bo‘yicha tavsiyalar

Mutaxassislar barcha WordPress administratorlariga quyidagi choralarni ko‘rishni tavsiya qilmoqda.

Plaginni darhol yangilang

Everest Forms Pro plaginining 1.9.13 yoki undan yangi versiyasiga o‘tish zarur.

Foydalanuvchilarni tekshiring

Administrator va yuqori huquqli hisoblarni audit qiling.

Server jurnallarini tahlil qiling

admin-ajax.php endpointiga yuborilgan shubhali so‘rovlarni aniqlang.

Web Application Firewall (WAF) dan foydalaning

Wordfence yoki boshqa WAF yechimlari hujumlarni dastlabki bosqichda aniqlashga yordam beradi.

Webshell va zararli fayllarni qidiring

Sayt fayllari muntazam ravishda skaner qilinishi lozim.

Xavfsizlik monitoringini kuchaytiring

SIEM, EDR va boshqa monitoring vositalari yordamida noodatiy faoliyatlarni kuzatib boring.

CVE-2026-3300 zaifligi WordPress ekotizimida so‘nggi davrda aniqlangan eng xavfli zaifliklardan biri hisoblanadi. U hujumchilarga autentifikatsiyasiz tarzda serverda ixtiyoriy PHP kodlarini bajarish imkonini berib, saytning to‘liq komprometatsiya qilinishiga olib kelishi mumkin.

Zaiflik allaqachon real hujumlarda faol qo‘llanilayotgani sababli Everest Forms Pro plagini o‘rnatilgan barcha WordPress sayt egalari imkon qadar tezroq yangilanishlarni o‘rnatishlari, foydalanuvchi hisoblarini audit qilishlari hamda server faoliyatini doimiy nazorat ostida ushlashlari zarur.

Kiberxavfsizlik amaliyotida xavfsizlik yangilanishlarini o‘z vaqtida joriy etish ko‘pincha muvaffaqiyatli hujumning oldini olishdagi eng muhim omillardan biri hisoblanadi.