Wprowadzenie do problemu / definicja luki
W popularnej wtyczce Anti-Malware Security and Brute-Force Firewall (GOTMLS) dla WordPressa wykryto podatność CVE-2025-11705, która umożliwia użytkownikom o niskich uprawnieniach (np. „Subscriber”) odczyt dowolnych plików na serwerze. W praktyce oznacza to możliwość wykradzenia m.in. zawartości wp-config.php (dane dostępowe do bazy), kluczy/saltów oraz innych prywatnych plików. Luka dotyczy wersji ≤ 4.23.81 i została poprawiona w 4.23.83 z 15 października 2025 r. Szacuje się, że wtyczka działa na 100 000+ witrynach.
W skrócie
- CVE-2025-11705: brak weryfikacji uprawnień (missing capability check) w akcjach AJAX prefiksowanych
GOTMLS_. Efekt: arbitrary file read dla zalogowanych użytkowników (od poziomu Subscriber). - Zakres: wszystkie wersje do 4.23.81 włącznie.
- Łatka: wydana 15.10.2025 w wersji 4.23.83 – dodano właściwą kontrolę uprawnień.
- Eksploatacja: na moment publikacji brak oznak ataków w naturze, ale po ujawnieniu podatność może zostać szybko zaadaptowana przez napastników.
- Skala: ~100 000 aktywnych instalacji; dzienniki WordPress.org wskazują tysiące pobrań po wydaniu poprawki, co sugeruje, że część witryn wciąż może pozostawać podatna.
Kontekst / historia / powiązania
Zgłoszenie trafiło do zespołu Wordfence (Threat Intelligence) na początku października; 14 października przekazano je dalej przez WordPress.org Security Team do autora wtyczki. Dzień później pojawiło się wydanie 4.23.83 z poprawką. Publiczne ujawnienie – 29 października 2025 r. – opisało wektor i ryzyko dla serwisów z otwartą rejestracją użytkowników.
Analiza techniczna / szczegóły luki
- Źródło problemu: brak kontroli uprawnień (CWE-862) w funkcji
GOTMLS_ajax_scan()i pokrewnych akcjach AJAXGOTMLS_*. Weryfikacja opierała się na noncie, który użytkownik o niskich uprawnieniach mógł legalnie pozyskać, co pozwalało obejść intencję ograniczenia dostępu. - Skutek: zalogowany subskrybent mógł odczytać dowolny plik dostępny z poziomu procesów PHP – w tym
wp-config.php, klucze/solty, logi, kopie konfiguracji itp. W konsekwencji możliwy jest dostęp do bazy danych i eksfiltracja skrótów haseł, e-maili, metadanych, treści wpisów. - Poprawka: w 4.23.83 dodano prawidłową weryfikację kompetencji użytkownika (m.in. nową funkcję walidującą użytkownika), co blokuje nieautoryzowane wywołania akcji.
Praktyczne konsekwencje / ryzyko
- Eskalacja dostępu pośrednia: odczyt
wp-config.php→ poświadczenia bazy → dostęp do tabel użytkowników → pętle resetów/masowe logowania, phishing ukierunkowany (np. na redaktorów/adminów). - Wycieki danych: e-maile, hash’e haseł, klucze i inne pliki konfiguracyjne. Ryzyko naruszeń RODO, jeżeli w bazie są dane osobowe.
- Niski próg ataku: wystarczy konto subskrybenta, które wiele stron udostępnia przez otwartą rejestrację (komentarze, newslettery, membership).
Rekomendacje operacyjne / co zrobić teraz
- Zaktualizuj wtyczkę do ≥ 4.23.83 na wszystkich instancjach. Zweryfikuj, czy środowisko nie utrzymuje klonów/stagingów ze starszą wersją.
- Wymuś rotację sekretów: po aktualizacji zmień hasło do bazy, odśwież klucze/salty w
wp-config.php(poleAUTH_KEYitp.) i rozważ reset haseł wybranym rolom, jeśli pliki mogły zostać odczytane. - Audyt logów: przejrzyj dzienniki serwera/WordPress (AJAX, logowania) pod kątem podejrzanych wywołań
admin-ajax.phpzwiązanych z akcjamiGOTMLS_*oraz nietypowych pobrań plików. - Ogranicz rejestrację (tymczasowo) lub podnieś tarcie: wymagaj weryfikacji e-mail, moderacji kont, włącz reCAPTCHA dla rejestracji i logowania. (Dobra praktyka, niezależnie od tej luki.)
- Zasady least privilege: oceń, czy rola „Subscriber” faktycznie jest potrzebna i jakie endpointy AJAX są dostępne zalogowanym użytkownikom – szczególnie w wtyczkach bezpieczeństwa.
- Monitoruj komunikaty dostawców (Wordfence/Patchstack) i skonfiguruj automatyczne aktualizacje bezpieczeństwa przynajmniej dla krytycznych/średnich luk.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Ta luka wymaga autoryzacji (loginu) i daje odczyt plików – to inny profil ryzyka niż ostatnie przypadki pełnych przejęć przez auth bypass/RCE. W praktyce jednak odczyt wp-config.php bywa wystarczający do dalszej kompromitacji (kradzież poświadczeń DB → pivot). Wordfence od miesięcy sygnalizuje, że wektorem nr 1 ekosystemu WordPress są wtyczki i ich endpointy (AJAX/REST), nie zaś sam core.
Podsumowanie / kluczowe wnioski
- Zaktualizuj GOTMLS do 4.23.83+ i zrotuj sekrety – to minimalny bezpieczny stan.
- Sprawdź logi pod kątem nietypowych wywołań AJAX
GOTMLS_*oraz potencjalnego wyciekuwp-config.php. - Zamknij drzwi dla nadużyć subskrybenta: ogranicz otwartą rejestrację, dodaj CAPTCHA, przegląd ról i uprawnień.
- Utrzymuj automatyczne aktualizacje i subskrybuj feedy bezpieczeństwa (Wordfence/Patchstack).
Źródła / bibliografia
- BleepingComputer: streszczenie luki, wektor, wersje, status eksploatacji (29.10.2025). (BleepingComputer)
- WordPress.org (karta wtyczki): wersja naprawcza 4.23.83, statystyki instalacji/pobrań. (WordPress.org)
- Wordfence Threat Intelligence (rekord podatności): opis AFD (arbitrary file read), atrybucja, szczegóły techniczne. (Wordfence)
- Wordfence (artykuł TI): oś czasu zgłoszenia/poprawki i zakres oddziaływania (~100k witryn). (Wordfence)
- Patchstack Database: rekord podatności i zalecenie aktualizacji do 4.23.83+. (Patchstack)
