A Wordfence biztonsági csapata kritikus sérülékenységet tárt fel a Demo Importer Plus WordPress bővítményben, amely lehetővé tette alacsony jogosultságú felhasználók számára a teljes oldal visszaállítását és rendszergazdai jogok megszerzését.
A sérülékenység részletei
| CVE azonosító | CVE-2025-14364 |
| Érintett verziók | 2.0.8 és korábbi |
| Javított verzió | 2.0.9 |
| Érintett oldalak | 10 000+ |
| Súlyosság | Kritikus |
Mi a probléma?
A Demo Importer Plus bővítményben hiányzott egy jogosultság-ellenőrzés az Ajax::handle_request() függvényben. Ez a hiba lehetővé tette, hogy akár Subscriber (feliratkozó) szintű felhasználók is:
- Teljes oldal-visszaállítást indítsanak
- Az összes adatbázis táblát töröljék (kivéve users/usermeta)
- Újrafuttassák a
wp_install()folyamatot - Saját fiókjukat rendszergazdává léptessék elő
Gyakorlatilag egy egyszerű feliratkozó átvehette volna az irányítást bármelyik érintett WordPress oldal felett.
Felfedezés és időzítés
- 2025. november 27. – A Wordfence Bug Bounty programon keresztül shark3y (@shark3yx) biztonsági kutató jelentette a sérülékenységet
- 2025. december 9. – A Wordfence teljes körű tájékoztatást küldött a Codewing Solutions fejlesztőcsapatának
- 2025. december 10. – Wordfence Premium, Care és Response felhasználók tűzfal-védelmet kaptak
- 2026. január 9. – Wordfence ingyenes felhasználók is megkapták a védelmet
A felfedezésért a kutató 195 dollár jutalmat kapott.
Mit kell tenned?
Ha a Demo Importer Plus bővítményt használod:
- Azonnal frissíts a 2.0.9-es vagy újabb verzióra
- Ellenőrizd a felhasználókat – nézd meg, hogy nem jelentek-e meg ismeretlen adminisztrátorok
- Vizsgáld át a tevékenységnaplót – keress gyanús műveleteket
- Fontold meg biztonsági bővítmény használatát (pl. Wordfence)
Tanulság
Ez az eset jól mutatja, mennyire fontos:
- Rendszeresen frissíteni a bővítményeket
- Minimalizálni a telepített bővítmények számát
- Csak megbízható forrásból származó bővítményeket használni
- Biztonsági monitoring eszközöket alkalmazni
Forrás: Wordfence Blog