Skip to content

WordPress’da aniqlangan zaiflik 90 000 ta veb-saytlarga xavf tug’dirmoqda

WordPress’ning Jupiter X Core plagini tarkibida topilgan jiddiy xavfsizlik kamchiligi tufayli 90,000 dan ortiq veb-saytlar Local File Inclusion (LFI) va Remote Code Execution (RCE) hujumlariga duchor boʻlishi mumkinligi aniqlandi. Ushbu zaiflik CVE-2025-0366 deb nomlangan va uning CVSS bahosi 8.8 (Yuqori) boʻlib, u kontribyutor darajasidagi foydalanuvchilarga zararli SVG fayllarini yuklash va serverda oʻzboshimchalik bilan kod bajarish imkoniyatini beradi.

Jupiter X Core plagi WordPress-ning premium Jupiter X shabloni uchun zarur boʻlgan qoʻshimcha plagin boʻlib, uning ichida ikkita zanjirlangan zaiflik mavjud:

  1. Cheklanmagan SVG fayllarni yuklash: Plaginning upload_files() funksiyasi (Ajax_Handler sinfining bir qismi) kontribyutorlarga SVG fayllarini yuklashga ruxsat beradi, ammo fayl tarkibi toʻgʻri tekshirilmaydi. Fayl nomlari PHP-ning uniqid() funksiyasi yordamida tasodifiy ravishda yaratiladi, ambu serverning mikrovaqtiga bogʻliq boʻlgani uchun hujumchilar yuklash vaqtini bilgan holda fayl nomlarini taxmin qilishlari mumkin. Bu esa zararli SVG fayllarini yuklash va ular orqali PHP kodini bajarish imkoniyatini beradi.
  2. Local File Inclusion (LFI): Plaginning get_svg() metodi (Utils sinfida) foydalanuvchi kiritgan maʼlumotlarni toʻgʻri sanitarizatsiya qilmaydi, bu esa hujumchilarga fayl nomini manipulyatsiya qilib, serverdagi istalgan faylni koʻrish imkoniyatini beradi. Masalan, hujumchilar zararli SVG faylini yuklab, uni maxsus soʻrovlar orqali kiritish orqali serverda oʻzboshimchalik bilan kod bajarishga erishishlari mumkin.

Ushbu zaiflikni Wordfencening Bug Bounty dasturi orqali tadqiqotchi stealth copter topdi va ular uchun $782 mukofot topshirildi.

Zaiflikning jiddiyligi

  • Imtiyozlarni oshirish: Kontribyutorlar, odatda past darajadagi foydalanuvchilar, serverning toʻliq boshqaruvini qoʻlga kiritishi mumkin.
  • Maʼlumotlarni oshkor qilish: Hujumchilar wp-config.php kabi sezuvli fayllarga yoki maʼlumotlar bazasi hisob maʼlumotlariga kirish imkoniyatiga ega boʻlishlari mumkin.
  • Uzoq muddatli kirish: Veb-shel orqali orqa eshiklar yaratish orqali hujumchilar uzoq vaqt davomida serverga kirishni saqlab qolishlari mumkin.

Plagin ishlab chiquvchisi Artbees 2025-yil 29-yanvarda 4.8.8 versiyasini chiqarib, quyidagi muammolarni hal qildi:

  • Qatʼiy fayl tekshiruvi: SVG fayllarini faqat ishonchli foydalanuvchilar yuklashi va fayl tarkibini tozalash.
  • Fayl yoʻllarini tozalashget_svg() funksiyasida realpath tekshiruvi orqali katalog traversiyasini bloklash.

Foydalanuvchilar uchun tavsiyalar:

  1. Plagin yangilanishi: Jupiter X Core plaginining 4.8.8 yoki undan yuqori versiyasiga yangilang.
  2. Foydalanuvchi rollarini tekshirish: Kontribyutor hisoblarini kamaytirish va faqat zarur boʻlgan foydalanuvchilarga ruxsat berish.
  3. Veb-ilova toʻsiqlari (WAF): LFI va RCE hujumlarini bloklash uchun WAF qoʻllash.
  4. Maxsus mavzular va plaginlarni tekshirish: SVG/XML parserlarida shunga oʻxshash zaifliklarni tekshirish.
  5. Avtomatlashtirilgan skanerlar: WordPress saytlarini muntazam ravishda skanerlab, xavfsizlik kamchiliklarini aniqlash.
  6. Xavfsizlik yangiliklari: Wordfence Intelligence kabi xavfsizlik manbalariga obuna boʻlish va real vaqtda ogohlantirishlar olish.

WordPress internetdagi saytlarning 43% ini boshqargani uchun uning xavfsizligini taʼminlash juda muhimdir. Administratorlar xavfsizlik choralarini vaqtida amalga oshirib, saytlarni hujumlardan himoya qilishlari shart. Yuqorida keltirilgan tavsiyalarga amal qilish orqali sizning WordPress saytingiz xavfsizligini yuqori darajada taʼminlashingiz mumkin.