Дослідники з Patchstack виявили серйозну вразливість у популярному плагіні Anti-Malware Security and Brute-Force Firewall для WordPress, яка дозволяє аутентифікованим користувачам з правами підписника читати будь-які файли на сервері, включаючи чутливі, як wp-config.php. Вада (CVE-2025-11705, CVSS 7.5) впливає на версії 4.23.81 та нижче, використовувані на понад 100 000 сайтах. Проблема виникає через відсутність перевірки прав доступу в AJAX-функції сканування, що дозволяє витік бази даних, хешів паролів та ключів аутентифікації.

Розробники випустили патч у версії 4.23.83. Хоча активної експлуатації не зафіксовано, ризик високий для сайтів з реєстрацією користувачів. Рекомендації: негайно оновити плагін, вимкнути реєстрацію для непотрібних ролей, моніторити логи на підозрілі запити та використовувати WAF для захисту.