В теме для WordPress «Alone – Charity Multipurpose Non-profit WordPress Theme» обнаружена критическая уязвимость, получившая идентификатор CVE-2025-5394. Проблема оценена в 9.8 балла из 10 по шкале CVSS, что указывает на максимальную степень опасности. Злоумышленники активно эксплуатируют этот недостаток для получения полного контроля над веб-сайтами, использующими данную тему.
Уязвимость затрагивает все версии темы «Alone» вплоть до 7.8.3 включительно. Разработчики выпустили исправление в версии 7.8.5. Владельцам сайтов необходимо незамедлительно обновить тему до последней доступной версии, чтобы защитить свои ресурсы от компрометации.
Технической причиной уязвимости является отсутствие проверки прав доступа (capability check) в функции
Используя этот недостаток, атакующий может удаленно и без каких-либо учетных данных инициировать установку любого плагина из произвольного ZIP-архива. Это открывает возможность для удаленного выполнения кода (RCE) на сервере и, как следствие, полного захвата контроля над сайтом.
Атаки на уязвимые сайты начались 12 июля, за два дня до публичного раскрытия информации об уязвимости. Согласно данным компании Wordfence, специализирующейся на кибербезопасности, ее системы защиты заблокировали 120 900 попыток эксплуатации. Цель хакеров — массовый взлом и захват сайтов.
В ходе атак злоумышленники загружают вредоносные ZIP-архивы под видом легитимных плагинов. Были зафиксированы файлы с именами
Уязвимость была обнаружена исследователем безопасности по имени Thái An и передана компании Wordfence для координации с разработчиком. Представитель Wordfence Иштван Мартон (István Márton) сообщил, что исправленная версия темы (7.8.5) была выпущена 16 июня 2025 года.
Владельцам сайтов, использующим тему «Alone», рекомендуется выполнить срочные действия для защиты и проверки. В первую очередь необходимо обновить тему до версии 7.8.5 или выше. После обновления следует тщательно проверить список пользователей в административной панели WordPress на предмет наличия подозрительных или несанкционированно созданных учетных записей администраторов.
Для обнаружения следов атаки необходимо проанализировать журналы доступа веб-сервера. Ищите запросы, содержащие строку
Зафиксированы следующие IP-адреса, с которых производились атаки. Их следует использовать в качестве индикаторов компрометации (IoC) для блокировки на уровне брандмауэра:
84.71.244.87
120.92.24.146
19.213.18.185
159.158.108.188
215.235.94.146
70.10.25.74
118.126.111.62
133.47.18.198
145.157.102.2a0b
4141:820:752::2
Изображение носит иллюстративный характер
Уязвимость затрагивает все версии темы «Alone» вплоть до 7.8.3 включительно. Разработчики выпустили исправление в версии 7.8.5. Владельцам сайтов необходимо незамедлительно обновить тему до последней доступной версии, чтобы защитить свои ресурсы от компрометации.
Технической причиной уязвимости является отсутствие проверки прав доступа (capability check) в функции
alone_import_pack_install_plugin(). Эта функция обрабатывает AJAX-запросы, что позволяет злоумышленнику взаимодействовать с ней без аутентификации на сайте. Используя этот недостаток, атакующий может удаленно и без каких-либо учетных данных инициировать установку любого плагина из произвольного ZIP-архива. Это открывает возможность для удаленного выполнения кода (RCE) на сервере и, как следствие, полного захвата контроля над сайтом.
Атаки на уязвимые сайты начались 12 июля, за два дня до публичного раскрытия информации об уязвимости. Согласно данным компании Wordfence, специализирующейся на кибербезопасности, ее системы защиты заблокировали 120 900 попыток эксплуатации. Цель хакеров — массовый взлом и захват сайтов.
В ходе атак злоумышленники загружают вредоносные ZIP-архивы под видом легитимных плагинов. Были зафиксированы файлы с именами
wp-classic-editor.zip и background-image-cropper.zip. Внутри этих архивов содержатся бэкдоры на PHP для выполнения команд, инструменты для загрузки дополнительных вредоносных файлов, полнофункциональные файловые менеджеры и скрипты для создания новых учетных записей администраторов. Уязвимость была обнаружена исследователем безопасности по имени Thái An и передана компании Wordfence для координации с разработчиком. Представитель Wordfence Иштван Мартон (István Márton) сообщил, что исправленная версия темы (7.8.5) была выпущена 16 июня 2025 года.
Владельцам сайтов, использующим тему «Alone», рекомендуется выполнить срочные действия для защиты и проверки. В первую очередь необходимо обновить тему до версии 7.8.5 или выше. После обновления следует тщательно проверить список пользователей в административной панели WordPress на предмет наличия подозрительных или несанкционированно созданных учетных записей администраторов.
Для обнаружения следов атаки необходимо проанализировать журналы доступа веб-сервера. Ищите запросы, содержащие строку
/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin. Наличие таких записей с высокой вероятностью указывает на попытку эксплуатации уязвимости. Зафиксированы следующие IP-адреса, с которых производились атаки. Их следует использовать в качестве индикаторов компрометации (IoC) для блокировки на уровне брандмауэра:
84.71.244.87
120.92.24.146
19.213.18.185
159.158.108.188
215.235.94.146
70.10.25.74
118.126.111.62
133.47.18.198
145.157.102.2a0b
4141:820:752::2
