Evropské banky zablokovaly miliardové transakce PayPalu: Prý selhala ochrana

WordPress je nejpoužívanější platforma pro tvorbu webů na světě – a právě jeho popularita přitahuje útočníky. Nedávno byla objevena vážná bezpečnostní chyba v prémiovém pluginu Paid Member Subscriptions, který využívá přes 10 000 webů pro správu předplatného, členských účtů a placeného obsahu.

Zranitelnost, označená jako CVE-2025-49870, objevil bezpečnostní expert ChuongVN z týmu Patchstack Alliance. Jednalo se o SQL injection – útok, který umožnil útočníkům manipulovat s databází a získat přístup k citlivým informacím bez nutnosti ověření identity.

Jak k chybě došlo

Problém byl nalezen v integraci platební brány PayPal Instant Payment Notifications (IPN). Plugin nesprávně zpracovával data odeslaná uživatelem, a ta následně ukládal do databáze bez dostatečné kontroly. Útočníci tak mohli poslat vlastní požadavek, vložit škodlivý kód a plugin jej automaticky zpracoval.

Důsledkem mohl být neoprávněný přístup k e-mailovým adresám, hashovaným heslům, ale i změna nebo mazání uložených dat.

Zdroj: Shutterstock

Dopady na uživatele

Chyba představovala vysoké riziko úniku osobních údajů. Útočníci mohli získané informace využít k různým formám útoků – od phishingu, kdy jsou rozesílány podvodné e-maily, až po credential stuffing, tedy testování odcizených hesel na jiných službách.

Ačkoli plugin ukládá hesla v hashované podobě, problém nastává zejména u uživatelů, kteří používají stejné heslo na více platformách. Pro ně bylo riziko výrazně vyšší.

Jak ochránit svůj web

Vývojáři pluginu reagovali rychle a vydali opravenou verzi 2.15.2. Pokud Paid Member Subscriptions používáte, je nezbytné okamžitě aktualizovat na nejnovější verzi. Doporučuje se také:

• zkontrolovat databázi a logy pro případné podezřelé aktivity,
• vynutit změnu hesel pro uživatele přihlašující se přes plugin,
• aktivovat dvoufázové ověřování, pokud je dostupné,
• pravidelně zálohovat web a sledovat bezpečnostní hlášení.