Los atacantes están explotando activamente una vulnerabilidad crítica de ejecución de código remoto (RCE) en el popular tema de WordPress “solo” para obtener activamente el control completo de los sitios web vulnerables.
La vulnerabilidad, asignada CVE-2025-5394 con un puntaje CVSS máximo de 9.8, afecta a más de 9,000 sitios utilizando las versiones 7.8.3 y debajo del tema centrado en la caridad.
Control de llave
1. Flaw crítico de RCE en el tema solo de WordPress permite la adquisición completa del sitio.
2. 120,900+ ataques activos que desplegan traseros maliciosos desde el 12 de julio.
3. Actualice inmediatamente si usa versiones anteriores.
Detalles técnicos de la vulnerabilidad del complemento de WordPress
La vulnerabilidad proviene de una verificación de capacidad faltante en la función Alone_import_Pack_install_Plugin (), que maneja las instalaciones de complementos durante la configuración del tema.
El código defectuoso permite a los atacantes no autenticados explotar la acción WP_AJAX_NOPRIV_ALONE_IMPORT_PACK_INSTALL_PLUGIN AJAX para cargar archivos arbitrarios disfrazados de complementos de fuentes remotas.
La función vulnerable procesa los datos posteriores a la autenticación adecuada:
Esta falla de diseño permite a los atacantes instalar complementos maliciosos que contienen redes web y puertas traseras enviando solicitudes diseñadas a /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin.
La vulnerabilidad permite que las babosas locales de complementos y las fuentes remotas a través del parámetro Plugin_Source, lo que hace que la explotación sea trivial para los cibercriminales.
Factores de riesgo Deteails Afectados de productos: Baridad Tema de WordPress sin fines de lucro Multipurpose ≤ 7.8.3ImpacTremote Code Execution (RCE), Sitio Complete Site TakeOver Exploit Prerrequisitos para la explotación de explotación positivvss 3.1 Score9.8 (crítico)
Vulnerabilidad del tema RCE Explotación activa
La explotación comenzó el 12 de julio de 2025, dos días antes de la divulgación pública de la vulnerabilidad, lo que indica que los atacantes controlan los parches de software para problemas de seguridad recientemente fijos.
Seguridad de Wordfence Los investigadores tienen documentado más de 120,900 intentos de exploit bloqueados desde que comenzó el monitoreo.
Los atacantes están implementando malware sofisticado a través de archivos zip maliciosos con nombres como WP-Classic-Editor.zip y Background-Image-Cropper.zip. Una muestra de puerta trasera capturada demuestra técnicas de ofuscación típicas:
Las direcciones IP de ataque más activas incluyen 193.84.71.244 (39,900+ solicitudes) y 87.120.92.24 (más de 37,100+ solicitudes). Los dominios maliciosos que alojan las cargas útiles de explotación incluyen cta.imasync (.) Com y dari-slideshow (.) Ru.
Los administradores del sitio web deben actualizarse inmediatamente a la versión del tema solo 7.8.5 o posterior, lo que parche la vulnerabilidad. Los usuarios de Wordfence Firewall recibieron reglas de protección el 30 de mayo de 2025, con usuarios de nivel gratuitos protegidos a partir del 29 de junio.
Los equipos de seguridad deben examinar /WP-Content /Plugins y /WP-Content /actualizar directorios para instalaciones sospechosas de complementos y revisar los registros de acceso para solicitudes que coincidan con el patrón de exploit.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
