Zranitelnost ve WordPress pluginu umožňovala krádež e-mailů i hesel
Evropské banky zablokovaly miliardové transakce PayPalu: Prý selhala ochrana
WordPress je nejpoužívanější platforma pro tvorbu webů na světě – a právě jeho popularita přitahuje útočníky. Nedávno byla objevena vážná bezpečnostní chyba v prémiovém pluginu Paid Member Subscriptions, který využívá přes 10 000 webů pro správu předplatného, členských účtů a placeného obsahu.
Zranitelnost, označená jako CVE-2025-49870, objevil bezpečnostní expert ChuongVN z týmu Patchstack Alliance. Jednalo se o SQL injection – útok, který umožnil útočníkům manipulovat s databází a získat přístup k citlivým informacím bez nutnosti ověření identity.
Jak k chybě došlo
Problém byl nalezen v integraci platební brány PayPal Instant Payment Notifications (IPN). Plugin nesprávně zpracovával data odeslaná uživatelem, a ta následně ukládal do databáze bez dostatečné kontroly. Útočníci tak mohli poslat vlastní požadavek, vložit škodlivý kód a plugin jej automaticky zpracoval.
Důsledkem mohl být neoprávněný přístup k e-mailovým adresám, hashovaným heslům, ale i změna nebo mazání uložených dat.
Zdroj: Shutterstock
Dopady na uživatele
Chyba představovala vysoké riziko úniku osobních údajů. Útočníci mohli získané informace využít k různým formám útoků – od phishingu, kdy jsou rozesílány podvodné e-maily, až po credential stuffing, tedy testování odcizených hesel na jiných službách.
Ačkoli plugin ukládá hesla v hashované podobě, problém nastává zejména u uživatelů, kteří používají stejné heslo na více platformách. Pro ně bylo riziko výrazně vyšší.
Jak ochránit svůj web
Vývojáři pluginu reagovali rychle a vydali opravenou verzi 2.15.2. Pokud Paid Member Subscriptions používáte, je nezbytné okamžitě aktualizovat na nejnovější verzi. Doporučuje se také:
- zkontrolovat databázi a logy pro případné podezřelé aktivity,
- vynutit změnu hesel pro uživatele přihlašující se přes plugin,
- aktivovat dvoufázové ověřování, pokud je dostupné,
- pravidelně zálohovat web a sledovat bezpečnostní hlášení.