Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Злоумышленники критическую уязвимость повышения привилегий в WordPress-теме Motors, которая позволяет взламывать учетные записи администраторов и полностью перехватывать контроль над целевым сайтом.
Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.
Проблема связана с виджетом Login Register и некорректной валидацией личности пользователя при обновлении пароля, что позволяет неаутентифицированным злоумышленникам изменять пароли администраторов.
Так, для эксплуатации бага злоумышленнику необходимо сначала обнаружить URL-адрес, где размещен виджет, проверив /login-register, /account, /reset-password, /signin и так далее с помощью специальных POST-запросов. Такие запросы содержат недопустимые символы UTF-8 в значении hash_check, что в итоге приводит к некорректному сравнению хешей при сбросе пароля.
При этом тело POST содержит значение stm_new_password, которое сбрасывает пароль пользователя, ориентируясь на ID, которые обычно принадлежат администраторам сайта.
Еще в мае разработчики StylemixThemes выпустили версию 5.6.68, устраняющую CVE-2025-4322, однако многие пользователи до сих пор не установили обновления и теперь могут пострадать от атак.
Аналитики Wordfence предупредили, что атаки на свежую уязвимость начались еще 20 мая, всего через день после того, как информация о проблеме была раскрыта публично. Более масштабные атаки начались после 7 июня 2025 года, и Wordfence сообщает, что уже заблокировала более 23 100 попыток взлома, направленных на ее клиентов.
По данным специалистов, в число паролей, используемых злоумышленниками в атаках, входят:
Получив доступ, злоумышленники входят в панель управления WordPress в качестве администраторов и создают дополнительные административные учетные записи, чтобы закрепиться на взломанном ресурсе.
Эксперты пишут, что неожиданное появление таких учетных записей, в сочетании с блокировкой существующих аккаунтов администраторов (пароли перестают действовать), является верным признаком эксплуатации CVE-2025-4322.
Пользователям Motors рекомендуется обновить тему как можно скорее.
Вредоносная активность была обнаружена специалистами компании Wordfence, которая еще в прошлом месяце о серьезной уязвимости CVE-2025-4322, затрагивающей все версии темы Motors вплоть до 5.6.67. Эта тема, разработанная StylemixThemes, насчитывает 22 460 продаж в Envato Market и популярна среди владельцев автомобильных сайтов.
Проблема связана с виджетом Login Register и некорректной валидацией личности пользователя при обновлении пароля, что позволяет неаутентифицированным злоумышленникам изменять пароли администраторов.
Так, для эксплуатации бага злоумышленнику необходимо сначала обнаружить URL-адрес, где размещен виджет, проверив /login-register, /account, /reset-password, /signin и так далее с помощью специальных POST-запросов. Такие запросы содержат недопустимые символы UTF-8 в значении hash_check, что в итоге приводит к некорректному сравнению хешей при сбросе пароля.
При этом тело POST содержит значение stm_new_password, которое сбрасывает пароль пользователя, ориентируясь на ID, которые обычно принадлежат администраторам сайта.
Еще в мае разработчики StylemixThemes выпустили версию 5.6.68, устраняющую CVE-2025-4322, однако многие пользователи до сих пор не установили обновления и теперь могут пострадать от атак.
Аналитики Wordfence предупредили, что атаки на свежую уязвимость начались еще 20 мая, всего через день после того, как информация о проблеме была раскрыта публично. Более масштабные атаки начались после 7 июня 2025 года, и Wordfence сообщает, что уже заблокировала более 23 100 попыток взлома, направленных на ее клиентов.
По данным специалистов, в число паролей, используемых злоумышленниками в атаках, входят:
- Testtest123!@#;
- rzkkd$SP3znjrn;
- Kurd@Kurd12123;
- owm9cpXHAZTk;
Получив доступ, злоумышленники входят в панель управления WordPress в качестве администраторов и создают дополнительные административные учетные записи, чтобы закрепиться на взломанном ресурсе.
Эксперты пишут, что неожиданное появление таких учетных записей, в сочетании с блокировкой существующих аккаунтов администраторов (пароли перестают действовать), является верным признаком эксплуатации CVE-2025-4322.
Пользователям Motors рекомендуется обновить тему как можно скорее.