В плагине Anti-Malware Security and Brute-Force Firewall для WordPress
, которая позволяет пользователям с минимальными привилегиями читать произвольные файлы на сервере.
Плагин установлен более чем на 100 000 сайтах, однако пока патч установлен только на половине из них.
Плагин Anti-Malware Security and Brute-Force Firewall предназначен для сканирования сайтов в поисках малвари, а также защиты от брутфорс-атак, эксплуатации известных багов в других плагинах и SQL-инъекций.
Уязвимость CVE-2025-11705 обнаружил исследователь Дмитрий Игнатьев, который сообщил о проблеме специалистам Wordfence через программу bug bounty. Проблема затрагивает версию 4.23.81 и более ранние.
Баг кроется в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — функция полагается только на nonce, который может узнать атакующий.
Получив доступ к БД, злоумышленник может извлечь: хеши паролей всех пользователей, email-адреса, содержимое постов (включая черновики), ключи и соли для безопасной аутентификации, а также другие приватные данные. Обладая такой информацией, можно скомпрометировать аккаунты администраторов, захватить полный контроль над уязвимым сайтом или использовать украденные данные для дальнейших атак.
Хотя официально проблема не считается критической (поскольку требует аутентификации), под угрозой находится любой сайт с установленным плагином, где пользователи могут создавать аккаунты с минимальными правами. Атакующему достаточно зарегистрироваться под любым именем и эксплуатировать баг.
Wordfence уведомила разработчиков о проблеме 14 октября 2025 года, и уже на следующий день, 15 октября, вышла версия плагина 4.23.83, которая устраняет проблему. Патч добавляет новую функцию GOTMLS_kill_invalid_user() для проверки прав пользователя перед выполнением чувствительных операций.
Согласно , с момента релиза патча его скачали примерно 50 000 администраторов. Это означает, что еще около 50 000 сайтов до сих пор работают с уязвимыми версиями плагина.
Исследователи пишут, что пока не наблюдали эксплуатацию CVE-2025-11705 в реальных атаках, однако публичное раскрытие информации о проблеме наверняка привлечет к ней внимание злоумышленников. Администраторам настоятельно рекомендуется как можно скорее обновить Anti-Malware Security and Brute-Force Firewall до версии 4.23.83.
Плагин установлен более чем на 100 000 сайтах, однако пока патч установлен только на половине из них.
Плагин Anti-Malware Security and Brute-Force Firewall предназначен для сканирования сайтов в поисках малвари, а также защиты от брутфорс-атак, эксплуатации известных багов в других плагинах и SQL-инъекций.
Уязвимость CVE-2025-11705 обнаружил исследователь Дмитрий Игнатьев, который сообщил о проблеме специалистам Wordfence через программу bug bounty. Проблема затрагивает версию 4.23.81 и более ранние.
Баг кроется в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — функция полагается только на nonce, который может узнать атакующий.
Получив доступ к БД, злоумышленник может извлечь: хеши паролей всех пользователей, email-адреса, содержимое постов (включая черновики), ключи и соли для безопасной аутентификации, а также другие приватные данные. Обладая такой информацией, можно скомпрометировать аккаунты администраторов, захватить полный контроль над уязвимым сайтом или использовать украденные данные для дальнейших атак.
Хотя официально проблема не считается критической (поскольку требует аутентификации), под угрозой находится любой сайт с установленным плагином, где пользователи могут создавать аккаунты с минимальными правами. Атакующему достаточно зарегистрироваться под любым именем и эксплуатировать баг.
Wordfence уведомила разработчиков о проблеме 14 октября 2025 года, и уже на следующий день, 15 октября, вышла версия плагина 4.23.83, которая устраняет проблему. Патч добавляет новую функцию GOTMLS_kill_invalid_user() для проверки прав пользователя перед выполнением чувствительных операций.
Согласно , с момента релиза патча его скачали примерно 50 000 администраторов. Это означает, что еще около 50 000 сайтов до сих пор работают с уязвимыми версиями плагина.
Исследователи пишут, что пока не наблюдали эксплуатацию CVE-2025-11705 в реальных атаках, однако публичное раскрытие информации о проблеме наверняка привлечет к ней внимание злоумышленников. Администраторам настоятельно рекомендуется как можно скорее обновить Anti-Malware Security and Brute-Force Firewall до версии 4.23.83.
