🚨 Критическая уязвимость в Demo Importer Plus: риск полного сброса сайта и захвата админки

В Demo Importer Plus (<= 2.0.8) обнаружена критическая уязвимость, позволяющая подписчику сбросить сайт и получить права администратора. Разработчик выпустил патч в версии 2.0.9, обновление необходимо установить как можно скорее.

Содержание статьи

🚨 Критическая уязвимость в плагине Demo Importer Plus (10 000+ сайтов)

В версиях Demo Importer Plus до 2.0.8 обнаружена уязвимость (CVE-2025-14364, CVSS 8.8), позволяющая пользователю с правами подписчика сбросить сайт и получить роль администратора. Это значит, что атакующий может стереть содержимое сайта и полностью захватить админку.

✅ Что сделать прямо сейчас:

  • Обновить плагин до версии 2.0.9 или выше.

  • Проверить список администраторов и подозрительные действия.

  • Использовать веб‑файрвол (Wordfence уже выпустил правило защиты).

В плагине Demo Importer Plus для WordPress (10 000+ активных установок) обнаружена опасная уязвимость, позволяющая злоумышленнику с минимальными правами пользователя сбросить сайт и получить полный административный доступ. Проблема затрагивает все версии плагина до 2.0.8 включительно.

Исследователь shark3y нашёл и ответственно раскрыл уязвимость через Bug Bounty программу Wordfence, за что получил вознаграждение в 195 долларов. Команда Codewing Solutions отреагировала оперативно и выпустила исправление в версии Demo Importer Plus 2.0.9.

В чём суть уязвимости

Уязвимость связана с отсутствием проверки полномочий при обработке AJAX‑запроса в методе handle_request() класса KraftPluginsDemoImporterPlusAjax.

  • Атакующему достаточно иметь учётную запись с правами подписчика.

  • Через AJAX‑действие do-reinstall можно инициировать “переустановку” сайта.

  • В процессе атаки плагин сбрасывает базу данных (кроме таблиц пользователей и usermeta) и запускает wp_install(), после чего атакующий пользователь становится единственным администратором.

Дополнительно риск усиливается тем, что используется стандартный nonce wp_rest, который может быть доступен через другие плагины, а также зарегистрирован nopriv‑эндпоинт, что в некоторых сценариях позволяет эксплуатировать уязвимость даже без авторизации.

Затронутые версии и статус исправления

  • Затронутые версии: Demo Importer Plus <= 2.0.8.

  • Исправленная версия: 2.0.9.

  • CVE: CVE-2025-14364, CVSS: 8.8 (High).

Разработчик добавил проверку прав manage_options для выполнения действия do-reinstall, что блокирует возможность сброса сайта пользователями с низким уровнем доступа.

Как защитить свой сайт

🔐 Рекомендуемые шаги для администраторов:

  • Срочно обновите Demo Importer Plus до версии 2.0.9 или выше.

  • Проверьте список пользователей и роли на предмет подозрительных аккаунтов, особенно свежих администраторов.

  • Проанализируйте журнал активности (если он ведётся) на предмет неожиданных сбросов, изменений и входов.

  • Убедитесь, что на сайте используется надёжный веб‑файрвол, например Wordfence, который уже выпускает правило для блокировки эксплуатации этой уязвимости.

Пользователи Wordfence Premium, Care и Response получили защитное правило в файрволе 10 декабря 2025 года, а пользователи бесплатной версии получают аналогичную защиту 9 января 2026 года.

Хронология раскрытия

  • 27 ноября 2025 — уязвимость отправлена в Bug Bounty программу Wordfence.

  • 9 декабря 2025 — отчёт подтверждён и передан разработчику через портал управления уязвимостями Wordfence.

  • 10 декабря 2025 — в Wordfence добавлено правило файрвола для защиты Premium/Care/Response пользователей.

  • 16 декабря 2025 — разработчик выпускает исправленную версию 2.0.9.

  • 9 января 2026 — защита в файрволе становится доступна пользователям бесплатной версии Wordfence.

Если вы используете Demo Importer Plus на своих проектах или клиентских сайтах, обновление и аудит безопасности сейчас — обязательный минимум.

Войти
adwork-color-copyCreated with Sketch.
Добро пожаловать в Adwork