Hakeri aktivno iskorištavaju kritičnu sigurnosnu manu u temi ” Alone – Charity Multipurpose Non-profit WordPress Theme ” kako bi preuzeli kontrolu nad ranjivim stranicama.
Ranjivost, praćena kao CVE-2025-5394 , nosi CVSS ocjenu 9,8. Istraživač sigurnosti Thái An je zaslužan za otkrivanje i prijavljivanje greške.
Prema Wordfenceu, nedostatak se odnosi na proizvoljno učitavanje datoteka koje utiče na sve verzije dodatka prije verzije 7.8.3, uključujući i nju. Problem je riješen u verziji 7.8.5 objavljenoj 16. juna 2025. godine.
CVE-2025-5394 je ukorijenjen u funkciji instalacije dodatka pod nazivom “alone_import_pack_install_plugin()” i proizlazi iz nedostajuće provjere mogućnosti, što omogućava neautentificiranim korisnicima da implementiraju proizvoljne dodatke iz udaljenih izvora putem AJAX-a i postignu izvršavanje koda.
„Ova ranjivost omogućava neautentificiranom napadaču da prenese proizvoljne datoteke na ranjivu stranicu i izvrši udaljeno izvršavanje koda, što se obično koristi za potpuno preuzimanje stranice“, rekao je István Márton iz Wordfencea .
Dokazi pokazuju da je CVE-2025-5394 počeo biti iskorištavan 12. jula, dva dana prije nego što je ranjivost javno otkrivena. To ukazuje na to da su akteri prijetnji koji stoje iza kampanje možda aktivno pratili promjene koda u potrazi za bilo kakvim novootkrivenim ranjivostima.
Kompanija je saopštila da je već blokirala 120.900 pokušaja iskorištavanja ove greške. Aktivnost je potekla sa sljedećih IP adresa –
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2a0b:4141:820:752::2
U uočenim napadima, propust se usrednjava na otpremanje ZIP arhive (“wp-classic-editor.zip” ili “background-image-cropper.zip”) koja sadrži PHP-bazirani backdoor za izvršavanje udaljenih naredbi i otpremanje dodatnih datoteka. Takođe su isporučeni potpuno funkcionalni upravitelji datoteka i backdoori sposobni za kreiranje lažnih administratorskih računa.
Kako bi se ublažile potencijalne prijetnje, vlasnicima WordPress stranica koje koriste temu savjetuje se da instaliraju najnovija ažuriranja, provjere ima li sumnjivih administratorskih korisnika i skeniraju logove za zahtjev “/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin”.
Izvor:The Hacker News
