Vulnerabilități critice de securitate cibernetică identificate la nivelul unor plugin-uri WordPress

Sursa: dnsc.ro

Acest raport prezintă vulnerabilitățile identificate în următoarele plugin-uri WordPress: Elementor (CVE-2024-13353), Chaty Pro (CVE-2025-26776), MetaSlider (CVE-2025-26763), Everest Forms (CVE-2025-1128) și Ravpage (CVE-2024-13789). Aceste vulnerabilități au în comun posibilitatea de executare de cod arbitrar, escaladare de privilegii sau încărcare de fișiere malițioase, ceea ce poate duce la compromiterea site-urilor vulnerabile.

CVE-2024-13353 – Vulnerabilitate în plugin-ul Responsive Addons for Elementor

CVE-2024-13353 este o vulnerabilitate de tip Local File Inclusion (LFI) identificată în plugin-ul Responsive Addons for Elementor pentru WordPress. Această vulnerabilitate permite atacatorilor autentificați, cu rol de Contributor sau superior, să includă și să execute fișiere arbitrare pe server, ceea ce poate duce la executarea de cod PHP neautorizat.

DETALII TEHNICE

Vectori de atac

• Atacatorul, având cel puțin rol de Contributor, poate exploata mai multe widget-uri din plugin pentru a include fișiere locale de pe server.

Condiții de exploatare

• Este necesar ca atacatorul să fie autentificat și să aibă permisiuni de Contributor sau mai mari.

Produse afectate

• Plugin-ul Responsive Addons for Elementor versiunea 1.6.4 și versiunile anterioare.

SCOR DE SEVERITATE

CVSS Score: 8.8 (High)

IMPACT

Exploatarea cu succes a acestei vulnerabilități poate permite atacatorilor să:

• Ocolească mecanismele de control al accesului;
• Acceseze și să modifice date sensibile;
• Execute cod arbitrar pe server, compromițând integritatea și disponibilitatea site-ului.

VERSIUNI AFECTATE

• Toate versiunile până la și inclusiv 6.4.

RECOMANDĂRI

• Utilizatorii sunt sfătuiți să actualizeze plugin-ul la versiunea 1.6.5 sau o versiune ulterioară, unde această vulnerabilitate a fost remediată.
• Asigurați-vă că doar utilizatorii de încredere au roluri cu permisiuni de Contributor sau mai mari.
• Verificați jurnalele de activitate pentru acțiuni suspecte și implementați măsuri suplimentare de securitate.

CVE-2025-1128 – Vulnerabilitate în plugin-ul Everest Forms

CVE-2025-1128 este o vulnerabilitate critică în plugin-ul Everest Forms pentru WordPress, care permite atacatorilor neautentificați să încarce fișiere arbitrare, să execute cod de la distanță și să șteargă fișiere de configurare esențiale, ceea ce poate duce la compromiterea completă a site-ului.

DETALII TEHNICE

Vectori de atac

• Atacatorul poate exploata validarea insuficientă a tipului de fișier și a căii în metoda format a clasei EVF_Form_Fields_Upload, permițând încărcarea de fișiere malițioase.

Condiții de exploatare

• Nu este necesară autentificarea; vulnerabilitatea poate fi exploatată de atacatori neautentificați.

Produse afectate

• Plugin-ul Everest Forms versiunea 3.0.9.4 și versiunile anterioare.

SCOR DE SEVERITATE

CVSS Score: 9.8 (Critical)

IMPACT

Exploatarea cu succes a acestei vulnerabilități poate permite atacatorilor să:

• Încarce și execute fișiere malițioase pe server, obținând control complet asupra site-ului;
• Șteargă fișiere de configurare esențiale, ceea ce poate duce la indisponibilitatea site-ului;
• Acceseze și să exfiltreze date sensibile stocate pe server.

VERSIUNI AFECTATE

• Toate versiunile până la și inclusiv 0.9.4.

RECOMANDĂRI

• Este esențial să actualizați plugin-ul la cea mai recentă versiune disponibilă, unde vulnerabilitatea a fost corectată.
• Examinați site-ul pentru a identifica eventuale fișiere sau activități suspecte care ar putea indica o compromitere.
• Utilizați un firewall pentru aplicații web (WAF) pentru a proteja site-ul împotriva încercărilor de exploatare a acestei vulnerabilități.

CVE-2025-26776 – Vulnerabilitate în plugin-ul Chaty Pro

CVE-2025-26776 este o vulnerabilitate de tip Unrestricted File Upload identificată în plugin-ul Chaty Pro pentru WordPress. Această vulnerabilitate permite atacatorilor neautentificați să încarce fișiere de tip web shell pe server, ceea ce poate duce la compromiterea completă a site-ului.

DETALII TEHNICE

Vectori de atac

• Atacatorul poate exploata lipsa de restricții în procesul de încărcare a fișierelor, permițând încărcarea de fișiere malițioase direct pe server.

Condiții de exploatare

• Nu este necesară autentificarea; vulnerabilitatea poate fi exploatată de atacatori neautentificați.

Produse afectate

• Plugin-ul Chaty Pro în toate versiunile până la și inclusiv 3.3.3.

SCOR DE SEVERITATE

CVSS Score: 10.0 (Critical)

IMPACT

Exploatarea cu succes a acestei vulnerabilități poate permite atacatorilor să:

• Încarce și execute fișiere malițioase pe server, obținând control complet asupra site-ului;
• Acceseze și să modifice date sensibile;
• Compromită integritatea și disponibilitatea site-ului.

VERSIUNI AFECTATE

• Toate versiunile de Chaty Pro până la și inclusiv 3.3.3.

RECOMANDĂRI

• Utilizatorii sunt sfătuiți să actualizeze plugin-ul la cea mai recentă versiune disponibilă, unde această vulnerabilitate a fost remediată.
• Verificați jurnalele de activitate pentru a identifica eventuale încărcări de fișiere suspecte și implementați măsuri suplimentare de securitate, cum ar fi restricționarea tipurilor de fișiere permise la încărcare.

CVE-2025-26763 – Vulnerabilitate în plugin-ul MetaSlider

CVE-2025-26763 este o vulnerabilitate de tip PHP Object Injection identificată în plugin-ul MetaSlider pentru WordPress. Această vulnerabilitate permite atacatorilor autentificați, cu cel puțin rol de Contributor, să injecteze obiecte PHP malițioase, ceea ce poate duce la executarea de cod arbitrar pe server.

DETALII TEHNICE

Vectori de atac

• Atacatorul poate exploata deserializarea input-urilor nesigure prin intermediul funcționalităților plugin-ului, permițând injectarea de obiecte PHP malițioase.

Condiții de exploatare

• Este necesar ca atacatorul să fie autentificat și să aibă cel puțin rol de Contributor.

Produse afectate

• Plugin-ul MetaSlider în versiunile până la și inclusiv 3.94.0.

SCOR DE SEVERITATE

CVSS Score: 9.8 (Critical)

IMPACT

Exploatarea cu succes a acestei vulnerabilități poate permite atacatorilor să:

• Execute cod arbitrar pe server, compromițând integritatea și confidențialitatea datelor;
• Obțină acces neautorizat la resursele serverului.

VERSIUNI AFECTATE

• Toate versiunile de MetaSlider până la și inclusiv 3.94.0.

RECOMANDĂRI

• Utilizatorii sunt sfătuiți să actualizeze plugin-ul la cea mai recentă versiune disponibilă, unde această vulnerabilitate a fost remediată.
• Asigurați-vă că doar utilizatorii de încredere au roluri cu permisiuni de Contributor sau mai mari.
• Implementați măsuri de validare și sanitizare a input-urilor pentru a preveni deserializarea datelor nesigure.

CVE-2024-13789 – Vulnerabilitate în plugin-ul Ravpage

CVE-2024-13789 este o vulnerabilitate de tip PHP Object Injection identificată în plugin-ul Ravpage pentru WordPress. Această vulnerabilitate permite atacatorilor neautentificați să injecteze obiecte PHP prin deserializarea input-urilor nesigure, ceea ce poate duce la executarea de cod arbitrar, în funcție de prezența unui POP (Property-Oriented Programming) chain în alte plugin-uri sau teme instalate.

DETALII TEHNICE

Vectori de atac

• Atacatorul poate exploata parametrul paramsv2 al plugin-ului, care deserializează input-urile primite fără o validare adecvată.
• Dacă în sistem există alte plugin-uri sau teme care conțin un POP chain, atacatorul poate obține execuție de cod arbitrar (RCE).

Condiții de exploatare

• Nu este necesară autentificarea pentru a exploata această vulnerabilitate.
• Posibilitatea de executare de cod depinde de configurația și plugin-urile existente pe server

Produse afectate

• Plugin-ul Ravpage în versiunile până la și inclusiv 3.5.

SCOR DE SEVERITATE

CVSS Score: 9.8 (Critical)

IMPACT

Exploatarea cu succes a acestei vulnerabilități poate permite atacatorilor să:

• Executa cod arbitrar pe server, preluând controlul asupra site-ului WordPress;
• Escalada privilegiile și accesa resurse critice.
• Accesa și modifica date sensibile, inclusiv baze de date și configurații esențiale.
• Introduce backdoor-uri pentru persistență și atacuri viitoare

VERSIUNI AFECTATE

• Toate versiunile de Ravpage până la și inclusiv 3.5.

RECOMANDĂRI

• Utilizatorii sunt sfătuiți să actualizeze plugin-ul la cea mai recentă versiune disponibilă, unde această vulnerabilitate a fost remediată. Versiunea 3.6 include un patch pentru validarea input-urilor și prevenirea deserializării nesigure
• Analizați logurile de acces și erori pentru semne de atac.
• Examinați site-ul pentru prezența unor fișiere suspecte sau backdoor-uri.
• Blocați deserializarea PHP nesigură prin configurarea disable_functions în php.ini.
• Utilizați un WAF (Web Application Firewall) pentru a bloca cererile malițioase.
• Evitați utilizarea altor plugin-uri nesecurizate care pot conține POP chains exploatabile.
• Restricționați accesul la panoul de administrare WordPress și dezactivați și eliminați plugin-urile neutilizate.