На популярний плагін Anti‑Malware Security and Brute‑Force Firewall (понад 100 000 інсталяцій) виявлено уразливість CVE‑2025‑11705, що дає змогу будь‑якому аутентифікованому користувачу із мінімальними правами прочитати довільні файли на сервері. Проблема виправлена у версії 4.23.83, однак актуалізацію, за оцінками, виконали лише близько половини адміністраторів, тож десятки тисяч сайтів лишаються під ризиком.
Як працює CVE‑2025‑11705: уразливий AJAX‑обробник і обхід перевірки прав
Уразливість стосується версій 4.23.81 і старіших та пов’язана з AJAX‑функцією GOTMLS_ajax_scan(). Компонент не виконує належної перевірки повноважень (capability check) і покладається лише на nonce — одноразовий маркер запиту. Оскільки такий маркер можна отримати та повторно використати, будь‑який зареєстрований користувач (навіть роль Subscriber) здатен викликати функцію й ініціювати читання довільного файла у файловій системі хостингу.
Для нефахівців: nonce у WordPress — це токен для захисту від CSRF, але він не замінює перевірку прав. Якщо відсутній контроль ролей і можливостей, наявність nonce не завадить користувачу з низькими правами виконати чутливу операцію.
Чому атакують wp-config.php: наслідки компрометації
Найцінніша ціль — wp-config.php. У ньому зберігаються параметри підключення до бази даних (БД), а також ключі та солі автентифікації. Доступ до цього файла відкриває шлях до: витягання хешів паролів користувачів, отримання адрес електронної пошти та вмісту записів/чернеток, а також до потенційного підроблення сесій за допомогою ключів і солей. У реальних умовах це часто призводить до ескалації привілеїв і повного захоплення адмін‑облікового запису, особливо у поєднанні зі слабкими паролями або іншими дірами безпеки.
Масштаб інциденту та статус виправлення: кого зачеплено
Дослідник Дмитро Ігнатьєв повідомив про уразливість через bug bounty, після чого Wordfence поінформувала розробників 14 жовтня 2025 року. Виправлення вийшло 15 жовтня у версії 4.23.83, де додано перевірку прав користувача через GOTMLS_kill_invalid_user() перед виконанням чутливих операцій. За даними WordPress.org, патч завантажили орієнтовно 50 000 разів, тобто ще приблизно стільки ж інсталяцій потенційно залишаються на вразливих версіях.
На момент публікації не зафіксовано підтверджених масових атак із використанням CVE‑2025‑11705. Водночас публічне розкриття зазвичай прискорює спроби експлуатації, тож часовий фактор критично важливий.
Практичні кроки для адміністраторів WordPress: зниження ризику
Негайно оновіть плагін до Anti‑Malware Security 4.23.83 або новішої версії. Попри вимогу аутентифікації, усі сайти з відкритою реєстрацією перебувають під загрозою: зловмиснику достатньо створити обліковий запис і викликати уразливий AJAX‑обробник.
Додатково рекомендується: обмежити або модерувати реєстрацію (підтвердження email, reCAPTCHA), змінити паролі БД та оновити AUTH_KEY/SALT у разі підозри на витік, а також примусово завершити активні сесії. Посильте контроль доступу до wp-config.php на рівні веб‑сервера й мінімізуйте можливість читання системних файлів процесом PHP відповідно до принципу найменших привілеїв.
Проведіть аналіз журналів: зверніть увагу на нетипові AJAX‑запити до уразливого обробника, активність навколо admin-ajax.php і спроби доступу до чутливих файлів. Використовуйте WAF або правила обмеження для підозрілих параметрів, регулярно видаляйте невикористовувані плагіни й теми, а ядро та розширення WordPress утримуйте в актуальному стані.
Швидке оновлення плагіна, ротація секретів і базова гігієна безпеки істотно знижують імовірність успішного злому та витоку даних. Рекомендується налаштувати автоматичні оновлення критичних компонентів, відстежувати консультації постачальників безпеки (зокрема Wordfence) і періодично проводити аудити конфігурацій, щоб випереджати нові методи атак.
