CDR.cz - Vybráno z IT

Zranitelnost ve WordPress pluginu umožňovala krádež e-mailů i hesel

Zdroj: Shuttestock

Ve WordPress pluginu Paid Member Subscriptions byla odhalena závažná bezpečnostní chyba, která umožňovala útočníkům přístup k citlivým údajům, včetně e-mailů a hashovaných hesel. Provozovatelé webů by měli okamžitě aktualizovat na verzi 2.15.2.

Evropské banky zablokovaly miliardové transakce PayPalu: Prý selhala ochrana

WordPress je nejpoužívanější platforma pro tvorbu webů na světě – a právě jeho popularita přitahuje útočníky. Nedávno byla objevena vážná bezpečnostní chyba v prémiovém pluginu Paid Member Subscriptions, který využívá přes 10 000 webů pro správu předplatného, členských účtů a placeného obsahu.

Zranitelnost, označená jako CVE-2025-49870, objevil bezpečnostní expert ChuongVN z týmu Patchstack Alliance. Jednalo se o SQL injection – útok, který umožnil útočníkům manipulovat s databází a získat přístup k citlivým informacím bez nutnosti ověření identity.

Jak k chybě došlo

Problém byl nalezen v integraci platební brány PayPal Instant Payment Notifications (IPN). Plugin nesprávně zpracovával data odeslaná uživatelem, a ta následně ukládal do databáze bez dostatečné kontroly. Útočníci tak mohli poslat vlastní požadavek, vložit škodlivý kód a plugin jej automaticky zpracoval.

Důsledkem mohl být neoprávněný přístup k e-mailovým adresám, hashovaným heslům, ale i změna nebo mazání uložených dat.

Zdroj: Shutterstock

Dopady na uživatele

Chyba představovala vysoké riziko úniku osobních údajů. Útočníci mohli získané informace využít k různým formám útoků – od phishingu, kdy jsou rozesílány podvodné e-maily, až po credential stuffing, tedy testování odcizených hesel na jiných službách.

Ačkoli plugin ukládá hesla v hashované podobě, problém nastává zejména u uživatelů, kteří používají stejné heslo na více platformách. Pro ně bylo riziko výrazně vyšší.

Jak ochránit svůj web

Vývojáři pluginu reagovali rychle a vydali opravenou verzi 2.15.2. Pokud Paid Member Subscriptions používáte, je nezbytné okamžitě aktualizovat na nejnovější verzi. Doporučuje se také:

  • zkontrolovat databázi a logy pro případné podezřelé aktivity,
  • vynutit změnu hesel pro uživatele přihlašující se přes plugin,
  • aktivovat dvoufázové ověřování, pokud je dostupné,
  • pravidelně zálohovat web a sledovat bezpečnostní hlášení.
Tagy: 
Zdroje: