Masovno iskorišćavanje kritične bezbjednosne ranjivosti u Motors temi za WordPress počelo je nekoliko nedjelja nakon javnog objavljivanja, upozorava WordPress bezbjednosna firma Defiant.
Motors tema je namijenjena biznisima koji se bave prodajom i iznajmljivanjem motornih vozila, uključujući prodavce automobila, motocikala, čamaca i rent-a-car agencije, nudeći unaprijed izrađene šablone i podršku za listinge, kao i za upravljanje korisnicima i dilerima.
Iskorišćena ranjivost, praćena kao CVE-2025-4322 (CVSS ocjena 9.8), opisuje se kao problem eskalacije privilegija preko preuzimanja korisničkog naloga.
Greška postoji jer tema ne vrši pravilnu validaciju identiteta korisnika prije ažuriranja lozinke naloga, što napadačima omogućava da promijene lozinku bilo kog korisnika.
„Ovo omogućava neautentifikovanim napadačima da promijene lozinke korisnika po svom izboru, uključujući administratore, i tako steknu pristup njihovim nalozima,“ navodi se u obavještenju NIST-a.
Bezbjednosni propust je zakrpljen 14. maja, a javno je objavljen 19. maja. Prema navodima kompanije Defiant, prvi pokušaji eksploatacije ove greške zabilježeni su 20. maja, dok je masovna eksploatacija započela 7. juna.
WordPress bezbjednosna firma upozorava da preko 22.000 sajtova koristi ovu temu, te da je blokirano više od 23.000 pokušaja eksploatacije CVE-2025-4322 otkako je ranjivost postala javno poznata.
Problem se odnosi na Login Register dodatak teme, koji sadrži ranjivu funkciju za oporavak lozinke. Budući da funkcija ne sprječava ažuriranje lozinke ako je hash vrijednost iz korisničkih metapodataka prazna, napadač može promijeniti lozinku čak i ako korisnik nije zatražio resetovanje lozinke.
Uspješno iskorišćavanje bezbjednosnog propusta, kako navodi Defiant, može dovesti do potpune kompromitacije sajta, jer napadači stiču pristup svim administratorskim funkcijama.
„To uključuje mogućnost učitavanja pluginova i tema, koje mogu biti maliciozni zip fajlovi sa backdoor-ovima, kao i izmjenu postova i stranica, što se može iskoristiti za redirekciju korisnika sajta ka drugim malicioznim stranicama ili za ubacivanje spama,“ objašnjava bezbjednosna firma.
CVE-2025-4322 je riješen u verziji Motors teme 5.6.68. Korisnicima se savjetuje da što prije ažuriraju na ovu zakrpljenu verziju ili noviju.
Izvor: SecurityWeek
