Злоумышленники эксплуатируют критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.

Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце предупреждала о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.

Проблема связана с виджетом Login Register и некорректной валидацией личности пользователя при обновлении пароля, что позволяет неаутентифицированным злоумышленникам изменять пароли администраторов.

Так, для эксплуатации бага злоумышленнику необходимо сначала обнаружить URL-адрес, где размещен виджет, проверив /login-register, /account, /reset-password, /signin и так далее с помощью специальных POST-запросов. Такие запросы содержат недопустимые символы UTF-8 в значении hash_check, что в итоге приводит к некорректному сравнению хешей при сбросе пароля.

При этом тело POST содержит значение stm_new_password, которое сбрасывает пароль пользователя, ориентируясь на ID, которые обычно принадлежат администраторам сайта.

Еще в мае разработчики StylemixThemes выпустили версию 5.6.68, устраняющую CVE-2025-4322, однако многие пользователи до сих пор не установили обновления и теперь могут пострадать от атак.

Аналитики Wordfence предупредили, что атаки на свежую уязвимость начались еще 20 мая, всего через день после того, как информация о проблеме была раскрыта публично. Более масштабные атаки начались после 7 июня 2025 года, и Wordfence сообщает, что уже заблокировала более 23 100 попыток взлома, направленных на ее клиентов.

По данным специалистов, в число паролей, используемых злоумышленниками в атаках, входят:

  • Testtest123!@#;
  • rzkkd$SP3znjrn;
  • Kurd@Kurd12123;
  • owm9cpXHAZTk;

Получив доступ, злоумышленники входят в панель управления WordPress в качестве администраторов и создают дополнительные административные учетные записи, чтобы закрепиться на взломанном ресурсе.

Эксперты пишут, что неожиданное появление таких учетных записей, в сочетании с блокировкой существующих аккаунтов администраторов (пароли перестают действовать), является верным признаком эксплуатации CVE-2025-4322.

Пользователям Motors рекомендуется обновить тему как можно скорее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии