Kritična ranjivost u dodatku Service Finder Bookings – šta treba hitno da uradite

U oktobru 2025. godine otkrivena je kritična bezbednosna ranjivost (CVE-2025-5947) u popularnom dodatku Service Finder Bookings, koji se koristi zajedno sa Service Finder temom. Ova ranjivost omogućava napadačima da zaobiđu autentifikaciju i uloguju se kao bilo koji korisnik na sajtu – uključujući i administratorske naloge.

Ko je ugrožen?

Ako na svom sajtu koristite Service Finder Bookings plugin u verzijama pre 6.1, vaš sajt je potencijalno ranjiv. Istraživači su već prijavili aktivne napade u divljini, pa je rizik od kompromitacije veoma visok.

Šta je problem?

Greška se nalazi u funkcionalnosti za „switch back“ tj. promenu naloga. Zbog nedovoljne provere, napadači mogu preuzeti sesiju drugog korisnika bez unošenja lozinke. To znači da neko spolja može ući u vaš admin panel i preuzeti potpunu kontrolu nad sajtom.

Rešenje

Zvanični developer je objavio zakrpu u verziji 6.1 (17. jula 2025.). Ako koristite plugin, hitno ažurirajte na najnoviju verziju ili ga privremeno deaktivirajte dok ne uradite update.

Preporučene mere:

1. Ažurirajte plugin – kroz admin panel ili WP-CLI komandu:

   wp plugin update service-finder-bookings

2. Deaktivirajte plugin ako ne možete odmah da ažurirate.
3. Proverite korisničke naloge – obrišite sumnjive i resetujte administratorske lozinke.
4. Pregledajte logove – tražite sumnjive IP adrese i pokušaje logovanja.
5. Pokrenite bezbednosni skener (Wordfence, Sucuri ili sličan).
6. Ukoliko je sajt kompromitovan – razmotrite vraćanje sa čistog backupa ili profesionalno čišćenje.

Zaključak

Ovo je još jedan podsetnik koliko su redovna ažuriranja i proaktivna bezbednost važni. Ako koristite , obavezno pratite sigurnosna obaveštenja i redovno proveravajte pluginove. Jedan propust može ugroziti ceo vaš posao.