Uma vulnerabilidade crítica de escalada de privilégio foi encontrada no tema premium do WordPress Motors, que permite a atacantes não autenticados sequestrar contas de administrador e tomar controle total de sites.
Desenvolvido pela StylemixThemes, Motors é um dos temas automotivos mais vendidos para a plataforma WordPress.
Ele é muito popular entre empresas automotivas, como concessionárias de carros, serviços de locação e plataformas de anúncios de veículos usados.
Ele tem mais de 22.300 vendas no mercado da Envato, com centenas de avaliações de usuários e milhares de comentários, indicando uma comunidade altamente ativa ao seu redor.
A falha, registrada como
CVE-2025-4322
, foi divulgada publicamente pela Wordfence mais cedo hoje e adicionada ao National Vulnerability Database (NVD).
É um problema de escalada de privilégio que afeta todas as versões do tema Motors até e incluindo a 5.6.67.
“Esta vulnerabilidade ocorre porque o tema não valida adequadamente a identidade de um usuário antes de atualizar sua senha,” explica a Wordfence.
Isso torna possível para atacantes não autenticados mudar as senhas de usuários arbitrários, incluindo as de administradores, e usar isso para ganhar acesso à conta deles.
Ao ganhar acesso de nível administrador, atacantes poderiam implantar malware, exfiltrar conteúdo de banco de dados e detalhes sensíveis de membros, ou redirecionar visitantes para sites perigosos.
A StylemixThemes lançou a versão 5.6.68 do Motors, que resolve o
CVE-2025-4322
, em 14 de maio de 2025.
Temas do WordPress são centrais para websites e não podem ser desativados temporariamente ou facilmente substituídos, então, atualizar para a versão mais recente o quanto antes é crítico.
O fornecedor tem um guia online detalhado sobre como atualizar o Motors via painel do WordPress, a API da Envato, ou manualmente via FTP.
É importante fazer backup do seu site antes de atualizar componentes do tema para prevenir potencial perda de dados.
Embora o problema não afete um plugin do WordPress ativo em milhões de sites, ainda constitui um risco significativo.
Dado o preço de $79 para uma licença regular e $2.000 para uma licença estendida, Motors é mais provável de ser implantado em sites ativos ou por aqueles que administram negócios.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...