- Sozinho-Charity Multipurpose sem fins lucrativos WordPress tem um tema de 9,8/10
- O bug permite que os bandidos criem contas de administrador desonestas
- Mais de 120.000 tentativas de aquisição já bloqueadas
O “Alone-Charity Multipurpose sem fins lucrativos WordPress tema”, um tema comercial usado em muitos sites do WordPress, continha uma vulnerabilidade crítica que permitia que os atores de ameaças assumissem completamente o site, alertaram os especialistas.
O tema do WordPress, projetado para instituições de caridade, ONGs e campanhas de captação de recursos, apresenta mais de 40 demonstrações prontas para uso, integração de doações e compatibilidade com o Elementor e o WPBakery.
De acordo com o The Themetix, cerca de 200 sites ativos do WordPress estão executando esse tema hoje.
Ataques em andamento
Os pesquisadores do WordFence afirmam que a exploração começou em 12 de julho, dois dias antes da divulgação publicamente da vulnerabilidade. Até agora, a empresa bloqueou mais de 120.000 tentativas de exploração de quase uma dúzia de endereços IP diferentes.
Nos ataques, os atores de ameaças tentam fazer upload de um arquivo zip com um backdoor baseado em PHP que lhes concede recursos de execução de código remoto, bem como a capacidade de fazer upload de arquivos arbitrários. Os bandidos também usaram a falha para entregar backdoors que podem criar contas de administrador adicionais.
Todas as versões de 7.8.3 continham uma vulnerabilidade que permitia que os atores de ameaças enviassem arquivos arbitrários, incluindo malware que podem criar contas de administrador. Dessa forma, os bandidos podem assumir completamente os sites e usá -los para hospedar outros malware, redirecionar visitantes para outras páginas maliciosas, servir páginas de destino de phishing e muito mais.
A vulnerabilidade agora é rastreada como CVE-2025-4394 e possui uma pontuação de gravidade de 9,8/10 (crítica). Foi abordado na versão 7.8.5, que foi lançado em 16 de junho de 2025. Se você estiver usando esse tema, seria aconselhável atualizá -lo o mais rápido possível, pois o bug está sendo explorado ativamente na natureza.
O WordPress é geralmente considerado uma plataforma segura do construtor de sites, mas temas e plugins de terceiros – nem tanto. É por isso que os profissionais de segurança aconselham os usuários do WordPress a manter apenas os plugins e os temas que eles usam ativamente e para garantir que eles estejam sempre atualizados.
Via The Hacker News
Fique conectado