Kritikus rés: a közösségi bejelentkezés a gyenge pont
A JobMonster témát a NooThemes fejlesztette, főleg állásportálok és toborzói oldalak használják. A hibát CVE-2025-5397 néven regisztrálták, súlyossági pontszáma 9,8. Minden 4.8.1-es verzióig érintett, és egy hibás check_login() függvény miatt engedélyezi a felhasználóazonosítás megkerülését. Ha a közösségi bejelentkezés engedélyezve van (például Google-, Facebook- vagy LinkedIn-fiókkal lehet belépni), akkor bárki adminjogokat szerezhet érvényes jelszó nélkül is – csupán az adminisztrátor felhasználónevét vagy e-mail-címét kell tudnia.
Javítás, védelem, óvatosság
A hibát a 4.8.2-es verzióban javították, ezért mindenki frissítse a témát azonnal. Ha ez nem megoldható, haladéktalanul tiltsd le a közösségi bejelentkezést az érintett oldalakon. Emellett érdemes bekapcsolni a kétfaktoros hitelesítést, lecserélni a jelszavakat, valamint rendszeresen ellenőrizni az adminaktivitási naplókat.
Folyamatos támadási hullámok WordPress alatt
A WordPress-témák és -bővítmények rendre a támadók célkeresztjébe kerülnek; néhány napja például a CVE-2025-11533-as hibát, októberben pedig a CVE-2025-5947-et használták ki jogosultságszint-emelésre, illetve adminisztrátori belépésre. Tavaly nyáron több mint 120 000 támadást is blokkoltak a Wordfence szakemberei. Aki késlekedik a frissítésekkel, az lényegében nyitva hagyja az ajtót a hackerek előtt.
