CVE-2025-5947 WordPress exploit – как хакери получават достъп като админ

CVE-2025-5947 WordPress exploit представлява критична уязвимост в плъгина Service Finder Bookings, който често е интегриран в темата Service Finder. Уязвимостта е класифицирана като автентикационна заобиколка (Authentication Bypass) с критичен риск, позволяваща на неаутентифицирани лица да получат достъп до администраторски акаунти в WordPress. Всички версии до и включително 6.0 са уязвими.

1. CVE-2025-5947 WordPress exploit: Описание на уязвимостта

Проблемът произтича от неправилна логика при функцията service_finder_switch_back(), която се използва за „връщане“ към оригинален акаунт след временно превключване на потребител. Тази функция разчита на идентификатор, съхраняван в cookie или заявка, за да определи кой потребител трябва да бъде възстановен. Липсва обаче адекватна проверка дали текущият потребител има право да изпълни това действие.

Технически механизъм

• Плъгинът приема потребителски контролирана стойност от заявка или cookie.
• Стойността се използва директно за идентификация на потребител без валидация на nonce или capability.
• В резултат, атакуващ може да изпрати специално оформена заявка, която принуждава системата да го третира като легитимен администратор.
• Не се изисква автентикация или предварително знание за идентификатора на акаунта, тъй като функцията не проверява произхода на заявката.

Вследствие на това уязвимостта позволява пълен административен достъп до WordPress сайта, което означава, че нападател може да качва файлове, да променя настройки, да инсталира зловреден код или да ексфилтрира база данни.

2. Потенциално въздействие

• Ниво на достъп: Администратор (пълен контрол над сайта).
• Вектори на атака: Директни HTTP POST/GET заявки към AJAX endpoints или публични URL-и, които извикват уязвимата функция.
• Сложност: Ниска – не се изисква удостоверяване или познания за вътрешна структура на сайта.
• Влияние върху системата: Инсталиране на уебшелове, създаване на нови администратори, промяна на пароли, внедряване на малуер или криптоджакинг скриптове.

3. Индикации за експлоатация

При анализ на логове на засегнати сайтове са наблюдавани заявки, съдържащи параметри като switch_back или service_finder_switch_back. Някои нападатели използват IP адреси, асоциирани с автоматизирани скенери и ботнети, за да идентифицират WordPress инсталации с активен плъгин.

Основни признаци за намеса включват:

• Нови администраторски акаунти, създадени без знание на собственика.
• Модифицирани PHP файлове в wp-content/uploads или темата.
• Добавени задачи в wp_cron за автоматично изпълнение на скриптове.
• Необичайни HTTP POST заявки с параметър switch_back.

4. Методи за откриване

Препоръчва се проверка на следните области:

• Преглед на логове с филтър за ключови думи „switch_back“ или „service_finder“.
• WP-CLI команда: wp user list --role=administrator – за проверка на администраторите.
• Сканиране на файлове за скорошни промени: find wp-content -type f -name "*.php" -mtime -7.
• Използване на скенер като Wordfence, за откриване на инжектирани файлове или промени в core-а.

5. Корекция и превенция

• Обновяване до Service Finder Bookings 6.1 или по-нова версия, където логиката на функцията е преработена и добавена автентикация.
• Смяна на всички администраторски пароли и регенериране на AUTH_KEYS и SECURE_KEYS в wp-config.php.
• Проверка и премахване на подозрителни файлове и cron задачи.
• Активиране на уеб защитна стена (WAF) и двуфакторна автентикация за администраторите.
• Мониторинг на логове и известия за вход в реално време, за да се засекат опити за неоторизиран достъп.

6. Препоръки за дългосрочна сигурност

• Използване на минимален набор от плъгини и премахване на стари, неизползвани разширения.
• Периодичен одит на сигурността и тестване с инструменти за откриване на известни CVE уязвимости.
• Изграждане на бекъп стратегия с поне едно офлайн копие на базата данни и файловете.
• Настройка на автоматични актуализации за сигурност и известия при нови версии на плъгини.

Уязвимостта CVE-2025-5947 WordPress exploit

е пример как една неправилно имплементирана логика за сесии може да компрометира цяла система. Въпреки че проблемът е локализиран в конкретен плъгин, последиците могат да бъдат катастрофални за всеки сайт, който го използва. Навременното обновяване, проверка за компромис и прилагане на базови мерки за сигурност са задължителни, за да се предотврати по-нататъшно разпространение на атаката.

Призив към администраторите: Проверете версията на Service Finder Bookings и предприемете незабавни действия. Само една навременна актуализация може да ви спести сериозни щети.