Bezpečnostní experti upozorňují na aktivní kampaň zaměřenou na zneužití zranitelnosti v motivu „Alone – Charity Multipurpose Non-profit WordPress Theme“. Chyba, označená jako CVE-2025-5394, dosahuje závažnosti 9,8 na škále CVSS a umožňuje vzdálené nahrání škodlivých pluginů bez nutnosti ověření identity. Tímto způsobem mohou útočníci získat plnou kontrolu nad napadeným webem.

Problém pramení z funkce „alone_import_pack_install_plugin()“, která neprováděla kontrolu oprávnění uživatele. Díky tomu bylo možné prostřednictvím AJAX instalovat libovolné pluginy z externích zdrojů a spouštět cizí kód. Podle společnosti Wordfence se chyba týká všech verzí motivu až do 7.8.3 včetně a byla opravena 16. června 2025 vydáním verze 7.8.5.

Útoky byly zaznamenány již 12. července 2025 , tedy ještě před zveřejněním detailů. To naznačuje, že útočníci pečlivě sledují změny kódu a zaměřují se na čerstvě opravené slabiny. Podle statistik Wordfence bylo od té doby zablokováno více než 120 tisíc pokusů o zneužití. Útočníci využívali IP adresy napříč Evropou a Severní Amerikou a na napadené weby nahrávali škodlivé archivy s PHP backdoory. Tyto soubory umožňovaly vzdálené vykonávání příkazů, nahrávání dalších škodlivých komponent a dokonce i vytváření falešných administrátorských účtů.

Provozovatelům webů se doporučuje okamžitě nainstalovat opravenou verzi motivu, zkontrolovat seznam uživatelů s administrátorskými právy a prověřit logy, zejména záznamy přístupů na adresu „/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin“. Bez rychlé reakce hrozí, že útočníci plně převezmou kontrolu nad celým webem.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS