Atuantes maliciosos estão explorando ativamente uma vulnerabilidade crítica de upload de arquivo arbitrário sem autenticação no tema WordPress 'Alone', para alcançar execução de código remoto e realizar uma tomada de controle completa do site.
A Wordfence está relatando a atividade maliciosa, dizendo que bloqueou mais de 120.000 tentativas de exploração direcionadas a seus clientes.
A firma de segurança WordPress também relata que os ataques começaram vários dias antes da divulgação pública da falha, indicando que os atuantes maliciosos estão monitorando changelogs e patches para descobrir problemas trivialmente exploráveis antes que alertas sejam enviados aos proprietários de sites.
A vulnerabilidade, rastreada sob
CVE-2025-5394
, afeta todas as versões do Alone até a 7.8.3.
O fornecedor, Bearsthemes, corrigiu-a na versão Alone 7.8.5, lançada em 16 de junho de 2025.
O problema deriva da função 'alone_import_pack_install_plugin()' do tema, que não possui verificações de nonce e está exposta via gancho wp_ajax_nopriv_.
A função permite a instalação de plugins via AJAX e aceita uma URL de fonte remota nos dados POST, permitindo que usuários não autenticados disparem instalações de plugins de URLs remotas.
De acordo com a Wordfence, os atacantes exploram a falha para fazer upload de webshells dentro de arquivos ZIP, implantar backdoors PHP protegidos por senha que permitem execução de comando remoto persistente via solicitações HTTP ou criar usuários administradores ocultos.
Em alguns casos, os atacantes até instalam gerenciadores de arquivos completos que lhes dão controle total sobre os bancos de dados do site.
Dado o exposto, sinais de comprometimento incluem o aparecimento de novos usuários admin, pastas suspeitas de ZIP/plugins e solicitações para 'admin-ajax.php?action=alone_import_pack_install_plugin.'
A Wordfence registrou dezenas de milhares de tentativas de exploração a partir dos endereços IP 193.84.71.244, 87.120.92.24, 146.19.213.18 e 2a0b:4141:820:752::2, portanto, eles devem ser bloqueados imediatamente.
Alone é um tema premium com quase 10.000 vendas no mercado Envato, usado principalmente por organizações sem fins lucrativos como caridades, ONGs, organizações de arrecadação de fundos e organizações sociais.
Embora a Wordfence tenha enviado um relatório para Bearsthemes já em 30 de maio de 2025, eles não receberam resposta, então escalaram o problema para a equipe do Envato em 12 de junho.
Quatro dias depois, o fornecedor lançou uma versão corrigida do Alone, v7.8.5, que é o alvo de atualização recomendado para todos os usuários.
No mês passado, outro tema premium WordPress, Motors, foi alvo de hackers que exploraram uma falha de validação de usuário para sequestrar contas de administrador em sites vulneráveis.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...