Kritične ranjivosti su identifikovane u TheGem-u, premium WordPress temi sa više od 82.000 instalacija širom svijeta.
Istraživači su identifikovali dvije odvojene, ali međusobno povezane ranjivosti u verzijama 5.10.3 i ranijim verzijama teme TheGem.
U kombinaciji, ove ranjivosti stvaraju opasan vektor napada koji bi mogao dovesti do udaljenog izvršavanja koda i potpunog kompromitovanja web stranice.
„Preuzeta datoteka se kopira u WordPress mapu za upload, koja je javno dostupna prema zadanim postavkama… napadači mogu kombinovati dvije ranjivosti kako bi uploadovali proizvoljni maliciozni PHP kod, a zatim pristupili datoteci kako bi pokrenuli udaljeno izvršavanje koda“, upozorava Wordfenceov izvještaj .
Kritična ranjivost prilikom otpremanja datoteka (CVE-2025-4317)
Prva ranjivost, kojoj je dodijeljena visoka CVSS ocjena 8,8, uključuje proizvoljno učitavanje datoteka zbog nedostatka validacije tipa datoteke u funkciji thegem_get_logo_url().
Ova ranjivost omogućava autentifikovanim napadačima s pristupom na nivou pretplatnika da otpreme potencijalno maliciozne datoteke na pogođene servere.
Predmetni ranjivi kod ne uspijeva provjeriti tipove datoteka:
Ovaj isječak koda iz TheGem teme slijepo preuzima datoteke bez provjere, stvarajući ulaznu tačku za napadače za postavljanje malicioznih PHP datoteka .
Ranjivost modifikacije opcija teme (CVE-2025-4339)
Druga ranjivost, ocijenjena kao srednja ozbiljnost sa CVSS ocjenom 4,3, proizilazi iz nedovoljnih provjera autorizacije u funkciji ajaxApi() teme. Iako je zaštićena provjerom nonce, ovoj funkciji nedostaje odgovarajuća validacija mogućnosti:
Ova ranjivost omogućava autentifikovanim korisnicima s dozvolama na nivou pretplatnika da mijenjaju postavke teme, uključujući postavljanje URL-a logotipa tako da ukazuje na maliciozni sadržaj.
Stručnjaci za sigurnost su opisali potencijalni lanac napada koji iskorištava obje ranjivosti:
- Napadači s pristupom na nivou pretplatnika iskorištavaju CVE-2025-4339 kako bi modifikovali postavku URL-a logotipa teme tako da ukazuje na malicioznu PHP datoteku.
- Kada web stranica pokuša učitati logo, funkcija thegem_get_logo_url() preuzima i pohranjuje malicioznu datoteku bez validacije.
- Napadači zatim pristupaju postavljenoj datoteci kako bi izvršili proizvoljni kod i potencijalno preuzeli potpunu kontrolu nad web stranicom.
Potrebna je hitna akcija
Ranjivosti su odgovorno otkrivene CodexThemesu, koji je odmah objavio ažuriranu verziju (5.10.3.1) 7. maja 2025. godine.
„Pozivamo korisnike da što prije ažuriraju svoje stranice najnovijom zakrpom za TheGem, verzijom 5.10.3.1 u vrijeme pisanja ovog teksta“, savjetovao je Wordfenceov sigurnosni tim.
Korisnici Wordfence Premium verzije dobili su zaštitu od ovih malicioznih programa putem firewalla od 5. maja, dok će besplatni korisnici dobiti zaštitu 4. juna 2025. Administratori web stranica koji koriste temu TheGem trebali bi odmah:
- Ažurirajte na verziju 5.10.3.1 ili noviju.
- Razmislite o implementaciji zaštitnog zida za web aplikacije.
- Pregledajte uloge i dozvole korisnika web-mjesta.
- Pratite sumnjive aktivnosti u serverskim zapisnicima.
Izvor: CyberSecurityNews