WordPress’ning Motors shablonidagi zaiflik 22 000 saytni xavf ostida qoldirmoqda
Dunyo bo‘yicha millionlab foydalanuvchilar foydalanadigan WordPress platformasi yana bir jiddiy zaiflik bilan yuzma-yuz keldi. Bu safar xatolik WordPress’ning mashhur dizayn andozalaridan biri – Motors shablonida aniqlandi.
Kiberxavfsizlik tadqiqotchilari tomonidan aniqlangan CVE-2025-4322 raqamli ushbu zaiflik 22 mingga yaqin veb-saytni potentsial xavf ostida qoldirgan. Mazkur zaiflik orqali har qanday tajovuzkor, sayt foydalanuvchisining — hattoki administratorning — parolini ruxsatsiz tarzda o‘zgartira oladi.
«Motors» shablonidagi parolni tiklash funksiyasi password-recovery.php fayli orqali amalga oshiriladi. Biroq bu faylda zaruriy autentifikatsiya tekshiruvlari yetarli emas.
Wordfence xavfsizlik hisobotiga ko‘ra, hash_check parametri bo‘sh emasligi tekshirilsa-da, hujumchi noto‘g‘ri UTF-8 belgilarini yuborib bu tekshiruvni aylanib o‘tishi mumkin. Chunki bu belgilar esc_attr() funksiyasi orqali avtomatik ravishda olib tashlanadi.
Shu tariqa, zaiflikdan foydalangan holda tajovuzkor sayt foydalanuvchisining parolini o‘zgartirib, administrator huquqlarini qo‘lga kiritishi mumkin.
⚠️ Qanday zararlar keltiradi?
Administrator kiruviga ega bo‘lgan hujumchi quyidagilarni amalga oshirishi mumkin:
- Yashirin orqa eshiklar (backdoor) o‘rnatilgan plaginlar yoki shablonlarni yuklash;
- Veb-sayt kontentini o‘zgartirib, foydalanuvchilarni zararli sahifalarga yo‘naltirish;
- Sayt orqali spam yoki zararli kodlar tarqatish;
- Foydalanuvchilarning shaxsiy ma’lumotlariga ruxsatsiz kirish.
📈 Statistik ma’lumotlar
| Xavf tafsilotlari | Ma’lumot |
|---|---|
| Ta’sir doirasi | Motors shabloni (v. 5.6.67 va undan oldingi versiyalar) |
| Xavf turi | Parolni ruxsatsiz tiklash orqali imtiyoz oshirish |
| CVSS bahosi | 9.8 (Kritik) |
| Exploit shartlari | Tarmoq orqali kirish va Motors shablonining faol bo‘lishi |
🛡️ Himoya choralari
Ushbu zaiflik bo‘yicha ishlab chiquvchi — StylemixThemes — 2025-yil 14-may kuni 5.6.68 versiyasida zaruriy tuzatmani chiqargan. Shuning uchun:
✅ Motors shablonidan foydalanayotgan sayt egalari darhol yangilanishni amalga oshirishlari zarur.
🔒 Agar hozircha yangilanish imkoniyati bo‘lmasa, quyidagi himoya choralarini ko‘rish tavsiya etiladi:
- Wordfence Premium foydalanuvchilari 2025-yil 6-maydan boshlab avtomatik himoya bilan ta’minlangan.
- Wordfence bepul versiyasi foydalanuvchilari esa bu himoyani 2025-yil 5-iyun kunidan boshlab oladi.
- Motors shabloni vaqtinchalik o‘chirib qo‘yilishi mumkin.
Ushbu hodisa WordPress asosidagi saytlar uchun shablon va plaginlarni doimiy ravishda yangilab borish naqadar muhimligini yana bir bor isbotladi. Ayniqsa, mashhur shablonlarda aniqlanadigan zaifliklar minglab saytlar xavfsizligiga tahdid soladi.
Shuningdek, ko‘p qatlamli xavfsizlik yechimlari (masalan, Wordfence kabi xavfsizlik plaginlari) ekspluatatsiya amalga oshirilishidan oldin ham tahdidlarni to‘sishga yordam beradi.
