Wordfence сообщила о критической уязвимости в WordPress-плагине Academy LMS, который используют для создания онлайн-курсов и учебных платформ. Уязвимость получила идентификатор CVE-2025-15521 и оценку 9,8 по CVSS. Удаленный злоумышленник может сменить пароль любого пользователя, включая администратора, без входа в систему.
Academy LMS установлен более чем на 10,000 сайтов. Уязвимость затрагивает все версии до 3.5.0 включительно. По данным Wordfence и Patchstack, попытки эксплуатации начались уже в середине января 2026 года, то есть это не бумажная история из отчета, а рабочий инструмент для захвата сайтов.
В основе бага не сложная математика и не редкая уязвимость ядра WordPress. Ошибка в логике проверки. Плагин разрешает смену пароля, опираясь на nonce, одноразовый токен, который нужен для защиты от подделки запросов. Проблема в том, что nonce в этом сценарии не доказывает личность пользователя. Он лишь говорит, что запрос похож на корректный технически.
В реальной эксплуатации это выглядит так. Злоумышленник берет nonce (одноразовый токен) с открытой страницы, где он присутствует, и отправляет запрос на смену пароля, подставляя идентификатор жертвы. Плагин проверяет только nonce и не проверяет, кто именно инициирует смену пароля. Если в качестве цели выбран администратор, сайт фактически отдается атакующему. В оценке CVSS это отражено максимально прямолинейно: атака возможна по сети, сложность низкая, права не требуются, взаимодействие пользователя не нужно. А итог для сайта стандартный для захваченного админ-аккаунта: управление контентом, установка плагинов, изменение настроек, внедрение бэкдоров и закрепление.
Для образовательных платформ и корпоративных LMS последствия обычно шире, чем просто взлом админки. Это доступ к данным студентов и преподавателей, изменения в курсах и оценках, вмешательство в платежи, а иногда и попытки использовать сервер как точку входа дальше, если сайт стоит внутри корпоративной инфраструктуры. Для организаций в Европе добавляется и регуляторный слой: при утечке персональных данных включаются требования уведомления и возможные штрафы.
Что известно об эксплуатации и как закрывать риск
Wordfence отмечает, что Patchstack фиксировал активные попытки эксплуатации начиная с середины января. По их наблюдениям, атакующие используют уязвимость для установки бэкдоров и сохранения постоянного доступа на скомпрометированных сайтах. Это типичный сценарий: сначала забирают администратора, затем оставляют скрытую точку входа, чтобы вернуться даже после смены пароля.
Исправление, вышло 21 января 2026 года. Рекомендуемая версия плагина с патчем 3.5.1 или выше. Это тот случай, когда откладывать обновление опасно по простой причине: атака не требует ни редких инструментов, ни цепочек уязвимостей. Нужен только доступ к сайту и возможность отправить запрос. Поэтому кампании быстро становятся массовыми.
Если обновление по каким-то причинам невозможно прямо сейчас, временная логика защиты сводится к двум вещам. Первое, перекрыть возможность смены пароля через уязвимый механизм на уровне WAF или правил доступа, пока не установлен патч. Второе, включить многофакторную аутентификацию на администраторских аккаунтах. Это не лечит уязвимость, но может остановить вход, даже если пароль уже сменили.
И еще одна практическая проверка, которую стоит сделать, если вы администрируете сайт на Academy LMS. Посмотрите, не появились ли новые администраторские пользователи, неизвестные плагины, изменения в wp-config.php или .htaccess, и нет ли странных задач или параметров, которые вы не создавали. В таких инцидентах бэкдор часто важнее первичной смены пароля, потому что он остается в системе дольше.
Уязвимость очень простая по механике, но тяжелая по последствиям. Она дает атакующему то, что обычно является ключом ко всему сайту, доступ администратора. Если у вас стоит Academy LMS, обновление до 3.5.1 в ближайшее время это не рекомендация, а базовая мера, чтобы не оказаться в числе тех, кто узнает о CVE по факту взлома.
