{"id":3748,"date":"2025-10-23T07:43:24","date_gmt":"2025-10-23T07:43:24","guid":{"rendered":"https:\/\/developress.io\/?p=3748"},"modified":"2025-12-29T16:25:51","modified_gmt":"2025-12-29T16:25:51","slug":"wordpress-plugin-vulnerabilities-october-2025-pl","status":"publish","type":"post","link":"https:\/\/developress.io\/pl\/wordpress-plugin-vulnerabilities-october-2025-pl\/","title":{"rendered":"Luki bezpiecze\u0144stwa WordPress &#8211; raport pa\u017adziernik 2025"},"content":{"rendered":"\n<p>To miesi\u0119czne podsumowanie przedstawia najwa\u017cniejsze ujawnione problemy z bezpiecze\u0144stwem WordPressa w pa\u017adzierniku 2025. Obejmuje kluczowe CVE dotycz\u0105ce WordPress core, wtyczek i motyw\u00f3w, wraz z informacjami o poziomie zagro\u017cenia, dotkni\u0119tych wersjach, prawdopodobie\u0144stwie wykorzystania oraz zaleceniami dotycz\u0105cymi \u0142atek. Znajdziesz tu tak\u017ce tabel\u0119 szybkiej triage, workflow aktualizacji\/wycofania\/test\u00f3w oraz 24-godzinny checklist naprawczy dla nietechnicznych w\u0142a\u015bcicieli stron.<\/p>\n\n\n\n<p>Je\u015bli chcesz uzyska\u0107 eksperck\u0105 pomoc w zakresie aktualizacji, monitoringu i wzmocnienia bezpiecze\u0144stwa, zobacz nasz\u0105 us\u0142ug\u0119: <a href=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" rel=\"noreferrer noopener\">WordPress Maintenance &amp; Support<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1) Szybki przegl\u0105d<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Przedzia\u0142 czasowy dzia\u0142ania<\/th><th>Zalecane dzia\u0142anie<\/th><\/tr><\/thead><tbody><tr><td>Natychmiast<\/td><td>Zaktualizuj WordPress core do najnowszej wersji i zastosuj dost\u0119pne poprawki bezpiecze\u0144stwa.<\/td><\/tr><tr><td>W ci\u0105gu 24 godzin<\/td><td>Przejrzyj poni\u017csze elementy o wysokim wp\u0142ywie; za\u0142atataj lub tymczasowo dezaktywuj\/usu\u0144 podatne komponenty.<\/td><\/tr><tr><td>W ci\u0105gu 7 dni<\/td><td>Wykonaj pe\u0142n\u0105 inwentaryzacj\u0119 wtyczek\/motyw\u00f3w, usu\u0144 porzucone, przejrzyj role administrator\u00f3w, w\u0142\u0105cz 2FA i przeanalizuj ostatnie logi.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">2) Kluczowe CVE w pa\u017adzierniku 2025<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2025-5947 &#8211; Omini\u0119cie uwierzytelniania w \u201cService Finder Bookings\u201d (cz\u0119\u015b\u0107 motywu Service Finder)<\/h3>\n\n\n\n<p><strong>Na czym polega:<\/strong> Krytyczne omini\u0119cie uwierzytelniania umo\u017cliwiaj\u0105ce nieautoryzowanemu atakuj\u0105cemu zalogowanie si\u0119 jako dowolny u\u017cytkownik (w tym admin) z powodu niew\u0142a\u015bciwej walidacji ciasteczka kontrolowanego przez u\u017cytkownika w <code>service_finder_switch_back()<\/code>. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-5947\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a> \u00b7 <a href=\"https:\/\/www.wordfence.com\/blog\/2025\/10\/attackers-actively-exploiting-critical-vulnerability-in-service-finder-bookings-plugin\/\" target=\"_blank\" rel=\"noreferrer noopener\">Wordfence advisory<\/a><\/p>\n\n\n\n<p><strong>Dotkni\u0119te wersje:<\/strong> \u2264&nbsp;6.0 (naprawione w 6.1 dnia 17 lipca 2025). <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-5947\" target=\"_blank\" rel=\"noreferrer noopener\">Szczeg\u00f3\u0142y<\/a><\/p>\n\n\n\n<p><strong>Poziom zagro\u017cenia \/ prawdopodobie\u0144stwo:<\/strong> CVSS&nbsp;3.1: 9.8 (Krytyczne); aktywne wykorzystanie obserwowane w pa\u017adzierniku. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-5947\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a> \u00b7 <a href=\"https:\/\/thehackernews.com\/2025\/10\/critical-exploit-lets-hackers-bypass.html\" target=\"_blank\" rel=\"noreferrer noopener\">The&nbsp;Hacker&nbsp;News<\/a><\/p>\n\n\n\n<p><strong>Co zrobi\u0107:<\/strong> Zaktualizuj do wersji 6.1+ natychmiast lub wymie\u0144 motyw. Przejrzyj logi logowa\u0144 administrator\u00f3w pod k\u0105tem nietypowych sesji i poszukaj podejrzanego u\u017cycia parametr\u00f3w \u201cswitch_back\u201d.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2025-10313 &#8211; Brak autoryzacji w wtyczce \u201cFind And Replace Content\u201d<\/h3>\n\n\n\n<p><strong>Na czym polega:<\/strong> Brak sprawdzania uprawnie\u0144 w <code>far_admin_ajax_fun()<\/code> umo\u017cliwia nieautoryzowany trwa\u0142y XSS oraz dowoln\u0105 podmian\u0119 tre\u015bci. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10313\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a> \u00b7 <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/wordpress-plugins\/find-and-replace-content\/find-and-replace-content-for-wordpress-11-missing-authorization-to-unauthenticated-stored-cross-site-scripting\" target=\"_blank\" rel=\"noreferrer noopener\">Wordfence Intel<\/a><\/p>\n\n\n\n<p><strong>Dotkni\u0119te wersje:<\/strong> \u2264&nbsp;1.1 (wtyczka tymczasowo zamkni\u0119ta 14 pa\u017adziernika 2025). <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10313\" target=\"_blank\" rel=\"noreferrer noopener\">Szczeg\u00f3\u0142y<\/a><\/p>\n\n\n\n<p><strong>Poziom zagro\u017cenia \/ prawdopodobie\u0144stwo:<\/strong> CVSS&nbsp;3.1: 7.2 (Wysokie); brak potwierdzonych masowych atak\u00f3w na moment publikacji, ale ryzyko jest istotne. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10313\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a><\/p>\n\n\n\n<p><strong>Co zrobi\u0107:<\/strong> Dezaktywuj i usu\u0144 wtyczk\u0119. Na wszelki wypadek zresetuj has\u0142a administrator\u00f3w i przeskanuj stron\u0119 pod k\u0105tem wstrzykni\u0119tych skrypt\u00f3w.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">CVE-2025-10743 &#8211; Nieautoryzowany SQL Injection w wtyczce \u201cOutdoor\u201d<\/h3>\n\n\n\n<p><strong>Na czym polega:<\/strong> Nieautoryzowany SQL injection przez akcj\u0119 <em>edit<\/em> (niewystarczaj\u0105ce oczyszczanie i przygotowanie zapyta\u0144), umo\u017cliwiaj\u0105cy wyci\u0105ganie danych z bazy. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10743\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a> \u00b7 <a href=\"https:\/\/www.wordfence.com\/threat-intel\/vulnerabilities\/wordpress-plugins\/outdoor\/outdoor-132-unauthenticated-sql-injection\" target=\"_blank\" rel=\"noreferrer noopener\">Wordfence Intel<\/a><\/p>\n\n\n\n<p><strong>Dotkni\u0119te wersje:<\/strong> \u2264&nbsp;1.3.2 (wtyczka dezaktywowana do czasu przegl\u0105du 14 pa\u017adziernika 2025). <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10743\" target=\"_blank\" rel=\"noreferrer noopener\">Szczeg\u00f3\u0142y<\/a><\/p>\n\n\n\n<p><strong>Poziom zagro\u017cenia \/ prawdopodobie\u0144stwo:<\/strong> CVSS&nbsp;3.1: 7.5 (Wysokie). <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-10743\" target=\"_blank\" rel=\"noreferrer noopener\">NVD<\/a><\/p>\n\n\n\n<p><strong>Co zrobi\u0107:<\/strong> Usu\u0144 wtyczk\u0119 i zast\u0105p j\u0105 wspieran\u0105 alternatyw\u0105; monitoruj logi bazy danych i logi dost\u0119pu pod k\u0105tem anomalii.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3) WordPress Core w pa\u017adzierniku 2025<\/h2>\n\n\n\n<p>WordPress <strong>6.8.3<\/strong> zosta\u0142 wydany <strong>30 wrze\u015bnia 2025<\/strong> jako <em>wydanie bezpiecze\u0144stwa<\/em> z dwiema poprawkami. Zaktualizuj natychmiast, je\u015bli jeszcze tego nie zrobi\u0142e\u015b. <a href=\"https:\/\/wordpress.org\/news\/2025\/09\/wordpress-6-8-3-release\/\" target=\"_blank\" rel=\"noreferrer noopener\">Oficjalna notka wydania<\/a><\/p>\n\n\n\n<p>Liczba ujawnianych podatno\u015bci w ca\u0142ym ekosystemie pozostaje wysoka. Przyk\u0142adowo, tygodniowy raport z 1 pa\u017adziernika wykaza\u0142 <strong>476 nowych podatno\u015bci<\/strong> (457 wtyczek, 17 motyw\u00f3w). <a href=\"https:\/\/solidwp.com\/blog\/wordpress-vulnerability-report-october-1-2025\/\" target=\"_blank\" rel=\"noreferrer noopener\">Raport SolidWP<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4) Tabela triage (najpierw te elementy)<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>CVE<\/th><th>Komponent<\/th><th>Dotkni\u0119te wersje<\/th><th>\u0141atka dost\u0119pna?<\/th><th>Prawdopodobie\u0144stwo ataku \/ poziom zagro\u017cenia<\/th><th>Dzia\u0142anie<\/th><\/tr><\/thead><tbody><tr><td>CVE-2025-5947<\/td><td>Service&nbsp;Finder Bookings \/ motyw Service&nbsp;Finder<\/td><td>\u2264&nbsp;6.0<\/td><td>Tak (6.1)<\/td><td>Aktywne ataki; CVSS 9.8 (Krytyczne)<\/td><td>Aktualizuj do 6.1+ lub wymie\u0144; przejrzyj logi<\/td><\/tr><tr><td>CVE-2025-10313<\/td><td>Find&nbsp;And&nbsp;Replace&nbsp;Content (wtyczka)<\/td><td>\u2264&nbsp;1.1<\/td><td>Nie (tymczasowo zamkni\u0119ta)<\/td><td>Wysokie; trwa\u0142y XSS \/ podmiana tre\u015bci<\/td><td>Usu\u0144; zmie\u0144 dane dost\u0119powe admina<\/td><\/tr><tr><td>CVE-2025-10743<\/td><td>Outdoor (wtyczka)<\/td><td>\u2264&nbsp;1.3.2<\/td><td>Nie (dezaktywowana)<\/td><td>Wysokie; nieautoryzowany SQLi<\/td><td>Usu\u0144; monitoruj logi DB\/dost\u0119pu<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><em>Wskaz\u00f3wka:<\/em> Je\u015bli \u0142atka nie jest dost\u0119pna, potraktuj komponent jako &#8220;usu\u0144\/zamie\u0144&#8221;, aby zmniejszy\u0107 powierzchni\u0119 ataku.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5) Workflow: Aktualizacja \u2192 Wycofanie \u2192 Testy<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Najpierw staging i backupy:<\/strong> Wykonaj pe\u0142n\u0105 kopi\u0119 zapasow\u0105 (pliki + DB). U\u017cyj \u015brodowiska testowego lub lokalnego sandboxa do bezpiecznego testowania aktualizacji.<\/li>\n\n\n\n<li><strong>Inwentaryzacja i czyszczenie:<\/strong> Wyeksportuj list\u0119 wszystkich wtyczek\/motyw\u00f3w z wersjami. Oznacz do usuni\u0119cia\/zamiany te nieaktualizowane (&gt;12 miesi\u0119cy bez aktualizacji).<\/li>\n\n\n\n<li><strong>Aktualizuj core:<\/strong> Przejd\u017a na WordPress 6.8.3+ jak najszybciej; to wydanie bezpiecze\u0144stwa. <a href=\"https:\/\/wordpress.org\/news\/2025\/09\/wordpress-6-8-3-release\/\" target=\"_blank\" rel=\"noreferrer noopener\">Szczeg\u00f3\u0142y<\/a><\/li>\n\n\n\n<li><strong>Najpierw krytyczne poprawki:<\/strong> Zajmij si\u0119 CVE z tabeli triage, potem reszt\u0105 stacka.<\/li>\n\n\n\n<li><strong>Testy funkcjonalne:<\/strong> Po ka\u017cdej aktualizacji przetestuj logowanie, formularze kontaktowe, wyszukiwark\u0119, procesy zakupowe i kluczowe szablony na stagingu.<\/li>\n\n\n\n<li><strong>Wycofanie w razie potrzeby:<\/strong> Je\u015bli aktualizacja psuje stron\u0119, przywr\u00f3\u0107 backup i zamro\u017a komponent na czas analizy.<\/li>\n\n\n\n<li><strong>Monitoring i audyt:<\/strong> W\u0142\u0105cz logi bezpiecze\u0144stwa\/audytu; przejrzyj ostatnie 24-48&nbsp;godzin aktywno\u015bci admin\u00f3w, tworzenia u\u017cytkownik\u00f3w, zmian plik\u00f3w (np. <code>wp-content\/uploads<\/code>) i anomalii w DB.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">6) Checklist 24h (nietechniczni w\u0142a\u015bciciele stron)<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Otw\u00f3rz <em>Kokpit \u2192 Aktualizacje<\/em> i zastosuj wszystkie dost\u0119pne aktualizacje core, wtyczek i motyw\u00f3w.<\/li>\n\n\n\n<li>Dezaktywuj i usu\u0144 wtyczki, kt\u00f3rych ju\u017c nie u\u017cywasz.<\/li>\n\n\n\n<li>Wykonaj now\u0105 pe\u0142n\u0105 kopi\u0119 zapasow\u0105 (pliki + baza danych).<\/li>\n\n\n\n<li>Zmie\u0144 has\u0142o administratora na silne, unikalne i w\u0142\u0105cz uwierzytelnianie dwusk\u0142adnikowe (2FA).<\/li>\n\n\n\n<li>Sprawd\u017a, czy nie pojawi\u0142y si\u0119 nowe konta Administrator\/Redaktor, kt\u00f3rych nie rozpoznajesz, i usu\u0144 je lub zresetuj.<\/li>\n\n\n\n<li>Przejrzyj ostatnie logi (je\u015bli s\u0105 dost\u0119pne) pod k\u0105tem nietypowych pr\u00f3b logowania i nieoczekiwanych dzia\u0142a\u0144 admina.<\/li>\n\n\n\n<li>Po aktualizacjach przetestuj kluczowe \u015bcie\u017cki u\u017cytkownika (formularze kontaktowe, logowanie, zakupy), by upewni\u0107 si\u0119, \u017ce wszystko dzia\u0142a.<\/li>\n\n\n\n<li>Je\u015bli nie masz pewno\u015bci lub brakuje Ci czasu, rozwa\u017c pomoc profesjonalist\u00f3w: <a href=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" rel=\"noreferrer noopener\">Maintenance &amp; Support<\/a>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">7) Wnioski na pa\u017adziernik 2025<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Bezpiecze\u0144stwo core: WordPress 6.8.3 (30 wrze\u015bnia) to wydanie bezpiecze\u0144stwa &#8211; zaktualizuj jak najszybciej.<\/li>\n\n\n\n<li>Skala: Liczba ujawnianych podatno\u015bci nadal wysoka (np. 476 nowych problem\u00f3w w jednym tygodniu 1 pa\u017adziernika).<\/li>\n\n\n\n<li>Wzorce ryzyka: Wiele powa\u017cnych przypadk\u00f3w wynika ze s\u0142abej kontroli dost\u0119pu (omini\u0119cie autoryzacji, brak autoryzacji) i podatno\u015bci na wstrzykni\u0119cia.<\/li>\n\n\n\n<li>Szybko\u015b\u0107 ma znaczenie: Przynajmniej jeden powa\u017cny problem w tym miesi\u0105cu (CVE-2025-5947) by\u0142 aktywnie wykorzystywany &#8211; priorytetem jest szybkie \u0142atanie.<\/li>\n\n\n\n<li>Higiena: Ogranicz liczb\u0119 wtyczek\/motyw\u00f3w i wybieraj rozwi\u0105zania aktywnie utrzymywane.<\/li>\n<\/ul>\n\n\n\n<p><strong>Potrzebujesz pomocy?<\/strong> Mo\u017cemy przeprowadzi\u0107 audyt Twojego stacka, bezpiecznie za\u0142ata\u0107 na stagingu i wdro\u017cy\u0107 proaktywny monitoring. Dowiedz si\u0119 wi\u0119cej: <a href=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/developress.io\/pl\/uslugi-wordpress\/utrzymanie\/\" rel=\"noreferrer noopener\">WordPress Maintenance &amp; Support<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>To miesi\u0119czne podsumowanie przedstawia najwa\u017cniejsze ujawnione problemy z bezpiecze\u0144stwem WordPressa w pa\u017adzierniku 2025. Obejmuje kluczowe CVE dotycz\u0105ce WordPress core, wtyczek i motyw\u00f3w, wraz z informacjami o poziomie zagro\u017cenia, dotkni\u0119tych wersjach, prawdopodobie\u0144stwie wykorzystania oraz zaleceniami dotycz\u0105cymi \u0142atek. Znajdziesz tu tak\u017ce tabel\u0119 szybkiej triage, workflow aktualizacji\/wycofania\/test\u00f3w oraz 24-godzinny checklist naprawczy dla nietechnicznych w\u0142a\u015bcicieli stron. Je\u015bli chcesz uzyska\u0107 [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":3565,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[39,47],"tags":[],"class_list":["post-3748","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-architektura-i-skalowalnosc","category-bezpieczenstwo-wordpressa"],"_links":{"self":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/3748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/comments?post=3748"}],"version-history":[{"count":1,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/3748\/revisions"}],"predecessor-version":[{"id":3749,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/posts\/3748\/revisions\/3749"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/media\/3565"}],"wp:attachment":[{"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/media?parent=3748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/categories?post=3748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/developress.io\/pl\/wp-json\/wp\/v2\/tags?post=3748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}