WordPress’dagi jiddiy zaiflik: 800 mingdan ortiq sayt masofadan egallab olinishi mumkin!

Raqamli makonda xavfsizlik doimo o‘zgarib boruvchi maydondir. Kecha ishonchli bo‘lib ko‘ringan mexanizm bugun jiddiy tahdid manbaiga aylanishi mumkin. Yaqinda aniqlangan zaiflik ham aynan shunday holatlardan biri bo‘lib, u WordPress platformasidagi mashhur WPvivid Backup & Migration plaginiga taalluqlidir.

Mazkur zaiflik sababli 800 mingdan ortiq veb-sayt masofadan turib kod ishga tushirish (Remote Code Execution – RCE) hujumlariga duchor bo‘lishi mumkin edi.

Zaiflik haqida umumiy ma’lumot

Ushbu muammo CVE-2026-1357 identifikatori bilan ro‘yxatga olingan va CVSS shkalasi bo‘yicha 9.8 ball (Critical) darajasida baholangan. Bu esa uning nihoyatda xavfli ekanini anglatadi.

Zaiflik quyidagi versiyalarga ta’sir ko‘rsatgan:

0.9.123 va undan oldingi versiyalar

Muammo esa 0.9.124 versiyasida bartaraf etilgan.

Xavf nimada edi?

Aniqlangan zaiflik autentifikatsiyasiz (login va parolsiz) hujumchiga:

serverga fayl yuklash,
PHP kod joylashtirish,
va natijada butun saytni egallab olish

imkonini berishi mumkin edi.

Bunday turdagi zaifliklar odatda to‘liq sayt nazoratini yo‘qotish, zararli kod joylashtirish, ma’lumotlar o‘g‘irlanishi yoki saytni botnet tarmog‘iga qo‘shish bilan yakunlanadi.

Zaiflik qanday sharoitda ishlaydi?

Muhim jihati shundaki, zaiflik har doim ham avtomatik ravishda faol bo‘lmagan.

Xavf quyidagi shart bajarilganda yuzaga kelgan:

WPvivid plagini sozlamalarida “receive a backup from another site” funksiyasi yoqilgan bo‘lsa;
ushbu funksiya uchun maxsus kalit (key) yaratilgan bo‘lsa.

Mazkur funksiya sukut bo‘yicha o‘chirilgan bo‘lib, yaratilgan kalitning amal qilish muddati 24 soatgacha bo‘ladi.

Demak, xavf aynan ushbu vaqt oralig‘ida yuqori darajada bo‘lgan.

Texnik sabablar: xatolik qayerda?

Wordfence tadqiqotchilari zaiflik ikki asosiy muammo natijasida yuzaga kelganini aniqlashdi:

1. Kriptografik xatolik

RSA yordamida shifrdan chiqarish (decrypt) jarayoni muvaffaqiyatsiz tugaganda, tizim jarayonni to‘xtatishi kerak edi. Ammo kod bajarilishi davom etgan.

Natijada:

noto‘g‘ri yoki “false” qiymat
AES/Rijndael shifrlash jarayonida “nol baytlar” kalitiga aylangan
hujumchiga maxsus tayyorlangan ma’lumotni server qabul qiladigan shaklda yuborish imkonini bergan

Bu esa autentifikatsiyasiz fayl yuklash imkonini yaratgan.

2. Fayl nomlarini tekshirishdagi zaiflik (Path Traversal)

Plagin shifrdan chiqarilgan ma’lumot tarkibidagi fayl nomlarini yetarlicha tekshirmagan.

Natijada:

hujumchi katalogdan tashqariga chiqish (directory traversal)
faylni mo‘ljallangan zaxira papkasidan tashqariga joylashtirish
uni veb orqali ochiq bo‘lgan joyga yuklash

imkoniga ega bo‘lgan.

Agar yuklangan fayl PHP skript bo‘lsa, bu to‘g‘ridan-to‘g‘ri masofadan kod ishga tushirishga olib keladi.

Hujum yuzasi

Zaiflik asosan quyidagi parametr orqali ekspluatatsiya qilingan:

wpvivid_action=send_to_site

Aynan shu endpoint orqali zaxira qabul qilish mexanizmi ishga tushirilgan va fayl yuklash jarayoni amalga oshirilgan.

Ishlab chiquvchilar qanday tuzatish kiritdi?

0.9.124 versiyasida quyidagi o‘zgartirishlar amalga oshirildi:

RSA decrypt muvaffaqiyatsiz bo‘lsa, jarayon to‘xtatiladigan qilindi
bo‘sh yoki noto‘g‘ri kalit bilan ishlash taqiqlandi
yuklanadigan fayllar kengaytmasi qat’iy cheklab qo‘yildi (zip, gz, tar, sql)
fayl yo‘llari sanitizatsiya qilindi

Bu esa zaiflikni bartaraf etishga xizmat qildi.

Amaliy tavsiyalar

Administratorlarga quyidagilar tavsiya etiladi:

Plaginni zudlik bilan 0.9.124 yoki undan yuqori versiyaga yangilash
“Receive backup” funksiyasini zarurat bo‘lmasa o‘chirib qo‘yish
Yaratilgan kalitlarni yangilash (rotate)
Veb-server ildiz katalogini tekshirish:
- noma’lum PHP fayllar
- so‘nggi 24 soat ichida yaratilgan shubhali fayllar
Server loglarini tahlil qilish
Web Application Firewall (WAF) joriy etish

Kengroq xulosa

Ushbu hodisa yana bir bor shuni ko‘rsatdiki, xavfsizlik faqat funksional imkoniyatlarga tayanib qolmasligi kerak. Zaxira olish (backup) mexanizmi aslida xavfsizlikni oshirish uchun mo‘ljallangan bo‘lsa-da, noto‘g‘ri implementatsiya tufayli u tahdid manbaiga aylanishi mumkin.

Kriptografik xatoliklar va fayl yo‘llarini tekshirmaslik kabi “mayda” ko‘ringan kamchiliklar millionlab foydalanuvchilarga ta’sir qiluvchi jiddiy xavfsizlik muammosiga sabab bo‘lishi mumkin.

Raqamli dunyoda har bir satr kod — bu mas’uliyatdir.

WordPress administratorlari va ishlab chiquvchilar uchun asosiy saboq shuki:

plaginlarni muntazam yangilab borish,
ishlatilmaydigan funksiyalarni o‘chirib qo‘yish,
va server xavfsizligini ko‘p qatlamli model asosida tashkil etish

zamonaviy kiberxavfsizlikning ajralmas talabidir.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

WordPress’dagi jiddiy zaiflik: 800 mingdan ortiq sayt masofadan egallab olinishi mumkin!

Zaiflik haqida umumiy ma’lumot

Xavf nimada edi?

Zaiflik qanday sharoitda ishlaydi?

Texnik sabablar: xatolik qayerda?

1. Kriptografik xatolik

2. Fayl nomlarini tekshirishdagi zaiflik (Path Traversal)

Hujum yuzasi

Ishlab chiquvchilar qanday tuzatish kiritdi?

Amaliy tavsiyalar

Kengroq xulosa

Zaiflik haqida umumiy ma’lumot

Xavf nimada edi?

Zaiflik qanday sharoitda ishlaydi?

Texnik sabablar: xatolik qayerda?

1. Kriptografik xatolik

2. Fayl nomlarini tekshirishdagi zaiflik (Path Traversal)

Hujum yuzasi

Ishlab chiquvchilar qanday tuzatish kiritdi?

Amaliy tavsiyalar

Kengroq xulosa

Windows Shell’dagi 0-Day zaiflik: himoya mexanizmlarini chetlab o‘tuvchi xavf bartaraf etildi

Murakkab maqsadli hujumlarda qo‘llanilgan Apple 0-Day zaifligi bartaraf etildi

Chrome 145 xavfsizlik yangilanishi: Kod bajarilishiga olib keluvchi zaifliklar bartaraf etildi