В популярном плагине Anti‑Malware Security and Brute‑Force Firewall для WordPress выявлена уязвимость CVE-2025-11705, позволяющая аутентифицированным пользователям с минимальными правами читать произвольные файлы на сервере. Плагин установлен более чем на 100 000 сайтов, однако, по оценке на момент публикации, обновление применили лишь около половины администраторов.
Детали уязвимости: как работает эксплойт и почему это опасно
Проблема затрагивает версии 4.23.81 и более ранние и связана с обработчиком AJAX‑запросов GOTMLS_ajax_scan(). Функция не выполняет проверку полномочий пользователя (capability check) и опирается только на nonce — маркер запроса, который можно получить и переиспользовать. В результате любой зарегистрированный пользователь, включая подписчика, способен инициировать вызов функции и прочитать содержимое произвольного файла на хостинге.
Наиболее привлекательная цель для атакующих — wp-config.php. Этот файл хранит имя базы данных, логин и пароль, а также ключи и соли аутентификации. Получив доступ к БД, злоумышленник может извлечь хеши паролей всех пользователей, адреса электронной почты, контент записей и черновиков, а также другие чувствительные сведения, что существенно повышает вероятность компрометации учетных записей, в том числе администраторов.
Масштаб и статус исправления: кто под ударом
Исследователь Дмитрий Игнатьев сообщил об уязвимости через программу bug bounty, после чего Wordfence уведомила разработчиков 14 октября 2025 года. Исправление опубликовано 15 октября в версии 4.23.83, где добавлена функция GOTMLS_kill_invalid_user() для проверки прав пользователя перед выполнением чувствительных операций. Согласно данным WordPress.org, патч загрузили порядка 50 000 раз, что оставляет около 50 000 установок на потенциально уязвимых версиях.
Почему доступ к wp-config.php критичен для WordPress
Компрометация wp-config.php открывает путь к эскалации атак:
• прямой доступ к базе данных и извлечение хешей паролей для офлайн‑взлома;
• получение ключей/солей аутентификации для подделки сессий;
• сбор персональных данных пользователей и контента для фишинга и дальнейших атак;
• полный захват админ‑учетки и сайта при сочетании с другими уязвимостями или слабыми паролями.
Рекомендации по снижению риска для администраторов WordPress
Немедленно обновитесь до Anti‑Malware Security 4.23.83 или новее. Это единственный надежный способ закрыть уязвимость. Несмотря на то, что баг требует аутентификации, любой сайт с открытой регистрацией находится под угрозой: злоумышленнику достаточно создать учетную запись и инициировать вызов уязвимой функции.
Дополнительно:
• Проверьте необходимость открытой регистрации и по возможности ограничьте ее (модерация, подтверждение по email, reCAPTCHA).
• Смените пароли БД, обновите AUTH_KEY/SALT в случае подозрения на компрометацию, принудительно завершите сессии пользователей.
• Усильте контроль доступа к wp-config.php на уровне веб‑сервера, ограничьте чтение файлов процессом PHP только по необходимости.
• Проанализируйте журналы (включая логи веб‑сервера и плагинов безопасности) на предмет необычных AJAX‑запросов к уязвимому обработчику.
• Соблюдайте принцип наименьших привилегий, удаляйте неиспользуемые плагины и регулярно устанавливайте обновления ядра и расширений.
На момент публикации эксплуатация CVE-2025-11705 в реальных атаках не зафиксирована, однако публичное раскрытие, как правило, ускоряет попытки эксплуатации. Чем быстрее администраторы обновят плагин и проведут базовую гигиену безопасности, тем ниже вероятность успешного взлома и утечки конфиденциальных данных.
