Újabb WordPress-fiaskó: veszélyben a JobMonster adminjogok

A kiberbűnözők egy súlyos, jogosultság-megkerülési sebezhetőséget használnak ki a népszerű JobMonster WordPress-témában, amely révén adminisztrátori fiókokat is eltulajdoníthatnak. A támadásokat a Wordfence nevű WordPress-biztonsági cég észlelte, amely az elmúlt 24 órában több próbálkozást is blokkolt.

Kritikus rés: a közösségi bejelentkezés a gyenge pont

A JobMonster témát a NooThemes fejlesztette, főleg állásportálok és toborzói oldalak használják. A hibát CVE-2025-5397 néven regisztrálták, súlyossági pontszáma 9,8. Minden 4.8.1-es verzióig érintett, és egy hibás check_login() függvény miatt engedélyezi a felhasználóazonosítás megkerülését. Ha a közösségi bejelentkezés engedélyezve van (például Google-, Facebook- vagy LinkedIn-fiókkal lehet belépni), akkor bárki adminjogokat szerezhet érvényes jelszó nélkül is – csupán az adminisztrátor felhasználónevét vagy e-mail-címét kell tudnia.

Javítás, védelem, óvatosság

A hibát a 4.8.2-es verzióban javították, ezért mindenki frissítse a témát azonnal. Ha ez nem megoldható, haladéktalanul tiltsd le a közösségi bejelentkezést az érintett oldalakon. Emellett érdemes bekapcsolni a kétfaktoros hitelesítést, lecserélni a jelszavakat, valamint rendszeresen ellenőrizni az adminaktivitási naplókat.

Folyamatos támadási hullámok WordPress alatt

A WordPress-témák és -bővítmények rendre a támadók célkeresztjébe kerülnek; néhány napja például a CVE-2025-11533-as hibát, októberben pedig a CVE-2025-5947-et használták ki jogosultságszint-emelésre, illetve adminisztrátori belépésre. Tavaly nyáron több mint 120 000 támadást is blokkoltak a Wordfence szakemberei. Aki késlekedik a frissítésekkel, az lényegében nyitva hagyja az ajtót a hackerek előtt.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media