Wordpressning mashhur plagini vebsaytlar buzilishiga sabab bo‘lmoqda
9
168
0
Tanqidiy darajadagi zaifligi aniqlangan Post SMTP plagini (kengaytmasi) bor Wordpress saytlarining aksariyati hali patchni o‘rnatmagan.
WordPressning mashhur elektron pochta yuborish kengaytmasi (plagini)da jiddiy zaiflik aniqlangan bo‘lib, bu zaiflik orqali hujumchilar ta’sirlangan veb-saytlarni to‘liq nazoratga olishlari mumkin.
Ta’sir ko‘rsatgan plagin — Post SMTP bo‘lib, u 400,000 dan ortiq WordPress veb-saytlarida elektron pochta yuborish uchun faol ishlatiladi.
Bir tadqiqotchi 2025-yil may oyida ushbu plagin jiddiy kirish nazoratining buzilishi muammosiga duchor bo‘lganligini aniqladi. Bu zaiflik orqali oddiy ro‘yxatdan o‘tgan foydalanuvchilar, jumladan oddiy obunachilar ham maxfiy ma’lumotlarga kirish imkoniyatiga ega bo‘lishadi. Bu xavfsizlik muammosi CVE-2025-24000 raqami bilan qayd etilgan.
Ushbu zaiflik haqida ma’lumotni muvofiqlashtirgan WordPress xavfsizlik kompaniyasi Patchstackga ko‘ra, hujumchi bu zaiflikdan foydalanib:
elektron pochta statistikalarini ko‘rishi,
xatlarni qayta yuborishi,
va elektron pochta yozuvlariga (loglariga), shu jumladan xat matniga kirishi mumkin.
Bu yozuvlar parolni tiklash xatlarini ham o‘z ichiga olishi mumkin, jumladan ma’murlarga yuborilgan xatlar ham. Bu hujumchiga ma’mur hisoblariga parolni tiklash imkonini berib, veb-saytni to‘liq nazoratga olishiga yo‘l ochadi.
Post SMTP ishlab chiquvchilari ushbu zaiflikni 11-iyun kuni chiqarilgan 3.3-talqinda tuzatishdi.
WordPress.orgdagi Post SMTP statistikalariga ko‘ra, 400,000 dan ortiq faol o‘rnatilgan plaginlarning yarmi hali ham 3.3-talqingacha yangilanmagan. Bu esa 200,000 dan ortiq veb-sayt hali ham hujumga ochiq bo‘lishi mumkinligini anglatadi.
Shu sababli, WordPress sayt ma’murlari plagin va mavzularni doimiy yangilab borishlari juda muhim, chunki muhaddidlar ko‘pincha aynan ushbu zaifliklardan foydalanib saytlarni buzishadi.
