WordPress’dagi “Alone” shablonida jiddiy zaiflik: minglab saytlar xavf ostida!

So‘nggi paytlarda mashhur “Alone” WordPress shablonida aniqlangan kritik darajadagi zaiflik (CVE-2025-5394) kiberjinoyatchilar tomonidan faol ekspluatatsiya qilinmoqda. Bu zaiflik orqali xakerlar saytlarga hech qanday autentifikatsiyasiz kirib, masofadan turib istalgan kodni bajarishi va sayt ustidan to‘liq nazorat o‘rnatishi mumkin.

Ushbu zaiflik shablonning alone_import_pack_install_plugin() funksiyasidagi autentifikatsiya tekshiruvining yo‘qligi sababli yuzaga kelgan. Bunga ko‘ra, xakerlar maxsus tayyorlangan so‘rovlar orqali saytingizga zararli plaginlarni yuklab, backdoor yoki webshell joylashtirishlari mumkin.

Shuningdek, zaiflik quyidagi mezonlarga javob beradi:

  • 🛠 Hech qanday ruxsat talab etilmaydi (unauthenticated RCE)
  • 🌐 Internet orqali bemalol ekspluatatsiya qilinadi
  • 📦 Foydalanuvchi aralashuvisiz zararli fayllar yuklanadi

2025-yil 12-iyuldan buyon 120 mingdan ortiq hujum qayd etilgan. Eng ko‘p zararli so‘rov yuborgan IP manzillar:

  • 193.84.71.244 – 39,900 dan ortiq urinish
  • 87.120.92.24 – 37,100 urinish

Zararli yuklamalar esa wp-classic-editor.zip yoki background-image-cropper.zip kabi fayllar ko‘rinishida tarqatilgan.

🧪 Xavfni qanday aniqlash mumkin?

WordPress administratorlari quyidagi papkalarni tekshirib chiqishlari lozim:

  • /wp-content/plugins/
  • /wp-content/upgrade/

Shuningdek, admin-ajax.php?action=alone_import_pack_install_plugin orqali yuborilgan so‘rovlar uchun access log’larni tahlil qilish tavsiya etiladi.

✅ Nima qilish kerak?

  • Darhol yangilang: Alone shablonining 7.8.5 yoki undan yuqori versiyasiga o‘ting.
  • Zararli fayllarni o‘chirib tashlang va sayt xavfsizligini skaner qiling.
  • Wordfence kabi xavfsizlik plaginlarini o‘rnating — pullik foydalanuvchilar 2025-yil 30-maydan, bepul foydalanuvchilar esa 29-iyundan boshlab himoya olganlar.

WordPress sayt egalariga ushbu zaiflikni jiddiy qabul qilish va zudlik bilan yangilanish tavsiya etiladi. “Alone” shablonidan foydalanayotgan saytlar ayni damda faol nishonda. Xavfsizlikka befarqlik — saytingizni to‘liq yo‘qotish bilan yakunlanishi mumkin.