Tema WordPress permite Escalação de Privilégios
21 de Maio de 2025

Uma vulnerabilidade crítica de escalada de privilégio foi encontrada no tema premium do WordPress Motors, que permite a atacantes não autenticados sequestrar contas de administrador e tomar controle total de sites.

Desenvolvido pela StylemixThemes, Motors é um dos temas automotivos mais vendidos para a plataforma WordPress.

Ele é muito popular entre empresas automotivas, como concessionárias de carros, serviços de locação e plataformas de anúncios de veículos usados.

Ele tem mais de 22.300 vendas no mercado da Envato, com centenas de avaliações de usuários e milhares de comentários, indicando uma comunidade altamente ativa ao seu redor.

A falha, registrada como CVE-2025-4322 , foi divulgada publicamente pela Wordfence mais cedo hoje e adicionada ao National Vulnerability Database (NVD).

É um problema de escalada de privilégio que afeta todas as versões do tema Motors até e incluindo a 5.6.67.

“Esta vulnerabilidade ocorre porque o tema não valida adequadamente a identidade de um usuário antes de atualizar sua senha,” explica a Wordfence.

Isso torna possível para atacantes não autenticados mudar as senhas de usuários arbitrários, incluindo as de administradores, e usar isso para ganhar acesso à conta deles.

Ao ganhar acesso de nível administrador, atacantes poderiam implantar malware, exfiltrar conteúdo de banco de dados e detalhes sensíveis de membros, ou redirecionar visitantes para sites perigosos.

A StylemixThemes lançou a versão 5.6.68 do Motors, que resolve o CVE-2025-4322 , em 14 de maio de 2025.

Temas do WordPress são centrais para websites e não podem ser desativados temporariamente ou facilmente substituídos, então, atualizar para a versão mais recente o quanto antes é crítico.

O fornecedor tem um guia online detalhado sobre como atualizar o Motors via painel do WordPress, a API da Envato, ou manualmente via FTP.

É importante fazer backup do seu site antes de atualizar componentes do tema para prevenir potencial perda de dados.

Embora o problema não afete um plugin do WordPress ativo em milhões de sites, ainda constitui um risco significativo.

Dado o preço de $79 para uma licença regular e $2.000 para uma licença estendida, Motors é mais provável de ser implantado em sites ativos ou por aqueles que administram negócios.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...