Hackers estão explorando uma vulnerabilidade crítica de escalada de privilégios no tema "Motors" do WordPress para sequestrar contas de administrador e obter controle total de sites alvo.
A atividade maliciosa foi detectada pela Wordfence, que no mês passado alertou sobre a gravidade da falha, rastreada sob o
CVE-2025-4322
, instando os usuários a atualizarem imediatamente.
"Motors", desenvolvido pela StylemixThemes, é um tema WordPress popular entre sites relacionados ao setor automotivo.
Ele possui 22.460 vendas no EnvatoMarket e conta com uma comunidade ativa de usuários.
A vulnerabilidade de escalada de privilégios foi descoberta em 2 de maio de 2025 e reportada pela primeira vez pela Wordfence em 19 de maio, impactando todas as versões até a 5.6.67 incluída.
A falha surge de uma validação inadequada da identidade do usuário durante a atualização da senha, permitindo que atacantes não autenticados mudem as senhas dos administradores ao seu bel-prazer.
A StylemixThemes lançou a versão 5.6.68 do Motors, que aborda o
CVE-2025-4322
, em 14 de maio de 2025, mas muitos usuários não aplicaram a atualização até a divulgação pela Wordfence e ficaram expostos a um risco elevado de exploração.
Como a Wordfence confirma em um novo relatório, os ataques começaram em 20 de maio, apenas um dia depois deles divulgarem os detalhes publicamente.
Ataques em larga escala foram observados em 7 de junho de 2025, com a Wordfence reportando o bloqueio de 23.100 tentativas contra seus clientes.
A vulnerabilidade está no widget "Login Register" do tema Motors, incluindo a funcionalidade de recuperação de senha.
O atacante primeiro localiza a URL onde esse widget está colocado, sondando /login-register, /account, /reset-password, /signin, etc., com POST requests especialmente elaboradas até conseguir um resultado.
O request contém caracteres UTF-8 inválidos em um valor 'hash_check' malicioso, fazendo com que a comparação de hash na lógica de redefinição de senha seja bem-sucedida incorretamente.
O corpo do POST contém um valor 'stm_new_password' que redefine a senha do usuário, visando IDs de usuário que normalmente correspondem a usuários administradores.
Senhas definidas pelos atacantes observadas nos ataques até agora incluem:
- Testtest123!@#
- rzkkd$SP3znjrn
- Kurd@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG
Uma vez que o acesso é obtido, os atacantes se logam no painel do WordPress como administradores e criam novas contas de admin para manter a persistência.
A aparição repentina de tais contas, combinada com administradores existentes sendo bloqueados (senhas não funcionando mais), são sinais da exploração do
CVE-2025-4322
.
A Wordfence também listou vários endereços IP que lançam esses ataques no relatório, recomendando que os proprietários de sites WordPress os coloquem em sua lista de bloqueio.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...