Уязвимость в плагине Slider Revolution поставила под угрозу 4 млн сайтов WordPress
В популярном плагине Slider WordPress обнаружена уязвимость, позволяющая пользователям с правами автора читать конфиденциальные файлы на сервере.
В плагине Slider Revolution для WordPress выявлена уязвимость CVE-2025-9217, затронувшая все версии до 6.7.36. Ошибка связана с недостаточной проверкой параметров used_svg и used_images, отвечающих за экспорт изображений и видео. Из-за этого злоумышленники могли получить доступ к любым файлам на сервере, включая wp-config.php с базами данных и ключами шифрования.
По информации издания Infosecurity Magazine проблему обнаружил независимый исследователь под псевдонимом stealthcopter, который сообщил о ней 11 августа 2025 года через программу Wordfence Bug Bounty. Компания Wordfence подтвердила отчет и передала сведения разработчику ThemePunch. Исправление выпущено в версии 6.7.37 спустя девять дней. Исследователь получил вознаграждение в размере 656 долл.
По шкале CVSS уязвимость оценена в 6,5 балла (средний уровень). Хотя эксплуатация требует учетной записи с правами не ниже contributor, успешная атака может привести к утечке критичных данных. Wordfence рекомендует установить последнюю версию плагина для защиты сайтов и предотвращения несанкционированного доступа.
