Hackers estão explorando uma vulnerabilidade crítica de escalada de privilégios no tema "Motors" do WordPress para sequestrar contas de administrador e obter controle total de sites alvo.
A atividade maliciosa foi detectada pela Wordfence, que no mês passado alertou sobre a gravidade da falha, rastreada sob o
CVE-2025-4322
, instando os usuários a atualizarem imediatamente.
"Motors", desenvolvido pela StylemixThemes, é um tema WordPress popular entre sites relacionados ao setor automotivo.
Ele possui 22.460 vendas no EnvatoMarket e conta com uma comunidade ativa de usuários.
A vulnerabilidade de escalada de privilégios foi descoberta em 2 de maio de 2025 e reportada pela primeira vez pela Wordfence em 19 de maio, impactando todas as versões até a 5.6.67 incluída.
A falha surge de uma validação inadequada da identidade do usuário durante a atualização da senha, permitindo que atacantes não autenticados mudem as senhas dos administradores ao seu bel-prazer.
A StylemixThemes lançou a versão 5.6.68 do Motors, que aborda o
CVE-2025-4322
, em 14 de maio de 2025, mas muitos usuários não aplicaram a atualização até a divulgação pela Wordfence e ficaram expostos a um risco elevado de exploração.
Como a Wordfence confirma em um novo relatório, os ataques começaram em 20 de maio, apenas um dia depois deles divulgarem os detalhes publicamente.
Ataques em larga escala foram observados em 7 de junho de 2025, com a Wordfence reportando o bloqueio de 23.100 tentativas contra seus clientes.
A vulnerabilidade está no widget "Login Register" do tema Motors, incluindo a funcionalidade de recuperação de senha.
O atacante primeiro localiza a URL onde esse widget está colocado, sondando /login-register, /account, /reset-password, /signin, etc., com POST requests especialmente elaboradas até conseguir um resultado.
O request contém caracteres UTF-8 inválidos em um valor 'hash_check' malicioso, fazendo com que a comparação de hash na lógica de redefinição de senha seja bem-sucedida incorretamente.
O corpo do POST contém um valor 'stm_new_password' que redefine a senha do usuário, visando IDs de usuário que normalmente correspondem a usuários administradores.
Senhas definidas pelos atacantes observadas nos ataques até agora incluem:
- Testtest123!@#
- rzkkd$SP3znjrn
- Kurd@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG
Uma vez que o acesso é obtido, os atacantes se logam no painel do WordPress como administradores e criam novas contas de admin para manter a persistência.
A aparição repentina de tais contas, combinada com administradores existentes sendo bloqueados (senhas não funcionando mais), são sinais da exploração do
CVE-2025-4322
.
A Wordfence também listou vários endereços IP que lançam esses ataques no relatório, recomendando que os proprietários de sites WordPress os coloquem em sua lista de bloqueio.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...