Купил WordPress – попрощайся с приватностью?
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Пользователи платных версий WordPress оказались под угрозой из-за серьезной уязвимости в популярном премиум-плагине. Злоумышленники получили возможность получать доступ к конфиденциальным данным или даже выкачивать их без авторизации.
Исследователь безопасности ChuongVN из Patchstack Alliance выявил опасную ошибку в плагине Paid Member Subscriptions — инструменте, который помогает владельцам сайтов создавать системы подписок, управлять доступом пользователей, настраивать планы оплаты и ограничивать контент для разных групп. Этот плагин установлен более чем на 10 000 сайтов.
Суть уязвимости — в неправильной обработке специальных символов в запросах к базе данных (SQL-инъекция). Особенно проблема проявляется в момент, когда плагин принимает уведомления о платеже через PayPal. Идентификатор платежа из пользовательских данных плагин внедряет напрямую в базу данных без должной проверки.
В реальности это может означать, что злоумышленники способны внедрять вредоносные запросы в базу, получая данные вроде e-mail или даже хэши паролей платных подписчиков. Можно предположить, что затем эти данные попадут в фишинговые рассылки или будут использованы для атак на аккаунты на других сервисах со схожими логинами и паролями.
Ошибка, получившая идентификатор CVE-2025-49870 и балл риска 7,5 из 10 (это высокий уровень), была устранена в версии 2.15.2. Всем пользователям рекомендуют немедленно обновить плагин.
WordPress — самый массовый движок для сайтов в мире: более половины всех сайтов строятся именно на нем. Неудивительно, что подобные плагины — лакомый кусок для киберпреступников, ведь доступ к ним открывает дорогу к данным тысяч и миллионов людей.
В этой статье обещают жареное, и оно тут явно подгорело. Начали с громких слов – "платные пользователи WordPress под ударом" – и сразу ясно: речь пойдет о кошельках, паролях и вечной борьбе за приватность. Автор дружно ругает плагин Paid Member Subscriptions, где нашлась дырка, через которую любой юркий жулик мог стянуть личные данные, просто подменив PayPal-ID в момент оплаты.
Тут сразу чувствуется атмосфера типичного понедельника для админа — то версия не та, то атака не по расписанию. Поражает не столько сама уязвимость (их в мире WordPress как грибов), сколько наивность самой схемы. Премиум-сайт? Премиум-слив ваших e-mail и хэшей паролей — выбирайте, какой пакет подписки интереснее.
Без советов "срочно обновиться" никуда — продавцы апдейтов уже потирают руки. Главное, чтобы очередная спасительная латка не дала ещё больше чудес для охотников за данными. В целом статья — как сериал про цифровых аферистов: предсказуемо, но ощущение тревоги не покидает.
Реальность свидетельствует о том, что монополия WordPress на сайты – это монополия и на уязвимости. Половина мира сидит на этом движке, остальная половина давно слила свои пароли. Остаётся надеяться, что у злоумышленников хватит совести не открывать центры фишинговой грамотности на вырученные данные.