Los actores de amenaza están explotando activamente un defecto de seguridad crítico en «Tema de WordPress sin fines de utilidad multipropósito de caridad» para hacerse cargo de los sitios susceptibles.
La vulnerabilidad, rastreada como CVE-2025-5394lleva una puntuación CVSS de 9.8. El investigador de seguridad Thái An ha sido acreditado por descubrir e informar el error.
Según WordFence, la deficiencia se relaciona con una carga de archivos arbitraria que afecta a todas las versiones del complemento antaño e incluyendo 7.8.3. Se ha abordado en la lectura 7.8.5 emprendedor el 16 de junio de 2025.
CVE-2025-5394 está enraizado en una función de instalación de complementos señal «Alone_import_pack_install_plugin ()» y proviene de una comprobación de capacidad faltante, lo que permite a los usuarios no autorenticados implementar complementos arbitrarios de fuentes remotas a través de AJAX y ganar la ejecución de código.
«Esta vulnerabilidad hace posible que un atacante no autenticado cargue archivos arbitrarios a un sitio inerme y inteligencia la ejecución de código remoto, que generalmente se aprovecha para una adquisición completa del sitio», dijo István Márton de Wordfence.
La evidencia muestra que CVE-2025-5394 comenzó a ser explotado a partir del 12 de julio, dos días antaño de que se revelara públicamente la vulnerabilidad. Esto indica que los actores de amenaza detrás de la campaña pueden ocurrir estado monitoreando activamente los cambios en el código para cualquier vulnerabilidad recientemente abordada.
La compañía dijo que ya ha bloqueado 120,900 intentos de exploit dirigidos a la error. La actividad se ha originado a partir de las siguientes direcciones IP –
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2a0b: 4141: 820: 752 ::: 2
En los ataques observados, el defecto se promedia para cargar un archivo zip («wp-classic-editor.zip» o «background-image-cropper.zip») que contiene una puerta trasera basada en PHP para ejecutar comandos remotos y cargar archivos adicionales. Todavía se entregan administradores de archivos y puertas de traseros con todas las funciones capaces de crear cuentas de administrador de pícaros.
Para mitigar cualquier amenaza potencial, se aconseja a los propietarios de sitios de WordPress que usen el tema que apliquen las últimas actualizaciones, verifique cualquier sucesor oficinista sospechoso y escanee los registros para la solicitud «/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin».
