Plugin này cung cấp tính năng quét phần mềm độc hại và bảo vệ chống lại các cuộc tấn công Brute Force, khai thác các lỗ hổng plugin đã biết và chống lại các nỗ lực xâm nhập cơ sở dữ liệu. Được gán mã định danh CVE-2025-11705, lỗ hổng bảo mật này đã được nhà nghiên cứu Dmitrii Ignatyev báo cáo cho Wordfence và ảnh hưởng đến các phiên bản plugin 4.23.81 trở về trước.
Sự cố bắt nguồn từ việc thiếu kiểm tra trong GOTMLS_ajax_scan(), hàm này xử lý các yêu cầu AJAX bằng cách sử dụng nonce mà kẻ tấn công có thể lấy được. Điều này cho phép người dùng có đặc quyền thấp, đọc các tệp tùy ý trên máy chủ, bao gồm dữ liệu nhạy cảm như tệp cấu hình wp-config.php lưu trữ tên cơ sở dữ liệu và thông tin đăng nhập.
Với quyền truy cập vào cơ sở dữ liệu, kẻ tấn công có thể trích xuất hàm băm mật khẩu, email, bài đăng và dữ liệu riêng tư khác của người dùng (khóa, giá trị salt để xác thực an toàn). Mặc dù mức độ của lỗ hổng không được coi là nghiêm trọng vì cần phải xác thực để khai thác, nhiều trang web vẫn cho phép người dùng đăng ký và tăng quyền truy cập vào nhiều phần khác nhau của trang web, chẳng hạn như phần bình luận.
Các trang web cung cấp bất kỳ loại tư cách thành viên hoặc đăng ký nào, cho phép người dùng tạo tài khoản, đáp ứng yêu cầu và dễ bị tấn công khai thác CVE-2025-11705.
Wordfence đã báo cáo sự cố này cho nhà cung cấp Eli cùng với mã bằng chứng khai thác vào ngày 14/10. Một ngày sau đó, nhà phát triển đã phát hành phiên bản 4.23.83 của plugin để giải quyết lỗ hổng CVE-2025-11705, bằng cách thêm chức năng kiểm tra khả năng của người dùng phù hợp thông qua hàm GOTMLS_kill_invalid_user() mới.
Theo số liệu thống kê của WordPress, có khoảng 50.000 quản trị viên trang web đã tải xuống phiên bản mới nhất kể từ khi phát hành, cho thấy một số lượng trang web tương đương đang chạy phiên bản plugin dễ bị tấn công.
Hiện tại, Wordfence chưa phát hiện dấu hiệu khai thác nào trong thực tế, nhưng việc áp dụng bản vá được khuyến khích mạnh mẽ vì việc công khai vấn đề có thể thu hút sự chú ý của các tác nhân đe dọa.
