Skip to content

WordPress’da jiddiy zaiflik: 10 000 dan ortiq saytlar xakerlar hujumiga uchrayapti

So‘nggi kiberxavfsizlik hisobotlariga ko‘ra, CVE-2025-0912 deb belgilangan xavfsizlik zaifligi WordPress’ning GiveWP Donation Plugin plaginida aniqlangan. Bu muammo 100 000 dan ortiq veb-saytlarga ta’sir ko‘rsatib, ularga masofaviy kod bajarish (RCE – Remote Code Execution) hujumlarini amalga oshirish imkonini beradi.

Mazkur zaiflik CVSS bo‘yicha 9.8 (Critical) reytingiga ega bo‘lib, bu uning o‘ta xavfli ekanini ko‘rsatadi. Xavfsizlik mutaxassislarining ta’kidlashicha, muammo xayriya shakllaridagi foydalanuvchi ma’lumotlarini noto‘g‘ri qayta ishlash natijasida yuzaga kelgan. Aynan shu kamchilik orqali hujumchilar PHP obyektlarini injeksiya qilish, POP (Property-Oriented Programming) zanjiri orqali serverni to‘liq egallash imkoniyatiga ega bo‘lishadi.

Muammo GiveWP plaginining karta manzili (card_address) parametrida joylashgan. Plaginning 3.19.4 yoki undan oldingi versiyalarida ushbu maydonga kiritilgan ma’lumotlar to‘g‘ri tekshirilmaydi va tozalash jarayoni bajarilmaydi. Shu sababli, ushbu maydonga zararli kod yuborish orqali PHP obyektini injeksiya qilish (CWE-502) mumkin.

Plaginda give_process_donation_form() funksiyasi mavjud bo‘lib, u foydalanuvchi kiritgan ma’lumotlarni to‘g‘ridan-to‘g‘ri deserializatsiya qiladi. Agar ushbu ma’lumot maxsus hujum kodi bilan kiritilsa, u keraksiz PHP obyektlarini ishga tushirishga sabab bo‘ladi.

POP zanjirlari orqali xakerlar serverda buyruqlar bajarish, fayllarni o‘chirish, yangi administrator akkauntlarini yaratish, va hatto kriptovalyuta qazib olish uchun zararli dasturlar joylashtirish imkoniyatiga ega bo‘lishadi.

Zaiflikning jiddiyligi shundaki, u WordPress’ning xavfsizlik mexanizmlarini chetlab o‘tib, autentifikatsiyadan o‘tmagan har qanday foydalanuvchi tomonidan ekspluatatsiya qilinishi mumkin.

🔴 Hujum muvaffaqiyatli amalga oshirilsa, quyidagi xavflar yuzaga kelishi mumkin:

  • wp-config.php kabi muhim fayllarning o‘chirilishi
  • Ma’lumotlar bazasi login va parollarining o‘g‘irlanishi
  • Saytga orqa eshik (backdoor) o‘rnatilishi va unga ruxsatsiz kirish
  • Donorlarning shaxsiy ma’lumotlari va moliyaviy ma’lumotlari buzilishi
  • Sayt sahifalarining buzilishi yoki zararli kodlar bilan to‘ldirilishi
  • Xayriya pullarining xakerlarga yo‘naltirilishi yoki firibgarlik sxemalariga qo‘shilishi

GiveWP plaginidan nodavlat tashkilotlari, diniy jamoalar va siyosiy kampaniyalar faol foydalanishadi. Shu sababli, bu hujum yirik moliyaviy va obro‘-e’tibor yo‘qotishlariga olib kelishi mumkin.

🔹 Tizim administratorlari va veb-sayt egalari quyidagi choralarni ko‘rishlari kerak:

Darhol GiveWP plaginini 3.20.0 yoki undan yuqori versiyaga yangilang

/wp-json/givewp/v3/donations manziliga shubhali POST so‘rovlarni tahlil qiling

Veb-ilovalar xavfsizlik devori (WAF) orqali card_address parametriga zararli ma’lumot yuborishni cheklang

Saytning fayl tizimida noma’lum o‘zgarishlar yoki yangi administrator foydalanuvchilari borligini tekshiring

Ma’lumotlar bazasini zaxira nusxasini yaratish va parollarni yangilash

CAPTCHA yoki reCAPTCHA orqali donatsiya shakllariga kirishni cheklash (agar darhol patch o‘rnatish imkoni bo‘lmasa)

🔸 Hozircha ushbu ekspluatatsiya ommaviy tarqalmagan, ammo uning oddiyligi va samaradorligi tufayli kriptovalyuta qazib oluvchilar yoki ransomware guruhlari uni faol ekspluatatsiya qilish ehtimoli yuqori.

🔸 Hisobotlarga ko‘ra, zararlangan saytlarning kamida 30 foizi hali ham zaif bo‘lib qolmoqda. Xavfsizlik bo‘yicha Defiant kompaniyasi tomonidan taqdim etilgan statistikaga ko‘ra, o‘n minglab saytlar hali ham yangilanmagan.

🔸 WordPress xavfsizlik mutaxassislari tashkilotlarga vulneraiblilikni monitoring qilish tizimlariga obuna bo‘lish, avtomatik yangilanishlarni yoqish va real vaqt rejimida ekspluatatsiya oldini olish vositalaridan foydalanishni tavsiya etmoqda.

WordPress plaginlari orqali sodir bo‘layotgan bu kabi zaifliklar internet xavfsizligining dolzarb masalalaridan biri hisoblanadi. Plagin ishlab chiquvchilari doimiy ravishda xavfsizlik yangilanishlarini chiqarsa ham, sayt egalari ularni vaqtida o‘rnatishlari shart. Aks holda, kiberjinoyatchilar ushbu zaifliklardan foydalanib, shaxsiy va moliyaviy ma’lumotlarni qo‘lga kiritishlari, saytlarni buzishlari va zarar yetkazishlari mumkin.

🔐 Tavsiya:

Doimo faqat rasmiy WordPress plaginlarini yuklab oling

Xavfsizlik yangilanishlarini kechiktirmasdan o‘rnatish

Veb-saytga zararli kodlarni skanerlash tizimlarini o‘rnatish

O‘z vaqtida ma’lumotlarning zaxira nusxalarini olish

Qo‘shimcha himoya choralari sifatida ikki bosqichli autentifikatsiyani yoqish

🚀 WordPress saytlaringizni himoya qiling, chunki kiberjinoyatchilar hech qachon uxlamaydi!