Los actores de amenaza aprovechan activamente los defectos de seguridad críticos de «solo el tema de WordPress sin fines de lucro multipropósito de la caridad» para hacerse cargo de los sitios sensibles.
El puntaje CVSS para vulnerabilidades rastreado como CVE-2025-5394 es 9.8. Se cree que el investigador de seguridad Thái An descubrió e informó el error.
Según WordFence, este inconveniente está relacionado con cualquier carga de archivo que afecte todas las versiones de complementos antes de 7.8.3. Dirigido en la versión 7.8.5, lanzado el 16 de junio de 2025.
CVE-2025-5394 «enraizada en una función de instalación de complementos llamada Alion_import_Pack_install_Plugin () y derivada de las verificaciones de características faltantes, por lo que puede implementar cualquier complemento desde una fuente remota a través de AJAX y lograr la ejecución del código.
«Esta vulnerabilidad permite a un atacante no autorizado cargar archivos arbitrarios a un sitio vulnerable y habilitar la ejecución de código remoto. Esto generalmente se explota para la adquisición completa del sitio».
La evidencia muestra que CVE-2025-5394 comenzó a ser explotado el 12 de julio, dos días antes de que se publicara la vulnerabilidad. Esto indica que los actores de amenaza detrás de la campaña pueden estar monitoreando activamente los cambios en el código para las vulnerabilidades recién abordadas.
La compañía dijo que ya ha bloqueado 120,900 intentos de explotación de los defectos. La actividad se originó a partir de la siguiente dirección IP –
193.84.71.24487.120.92.24146.19.213.8185.159.158.108188.
Los ataques observados se han promediado para cargar un archivo ZIP («WP-Classic-Editor.zip» o «Background-Image-Cropper.zip») que contiene puertas traseras basadas en PHP. También ofrece un administrador de archivos y una puerta trasera totalmente funcionales que le permite crear cuentas de administrador de pícaros.
Para mitigar las posibles amenazas, se recomienda a los propietarios de sitios de WordPress que usen temas para aplicar las últimas actualizaciones, verificar los usuarios administrativos sospechosos y escanear los registros de solicitudes.
Source link
