Хакеры активно эксплуатируют критический RCE в теме WordPress Alone

Злоумышленники активно используют критическую уязвимость неаутентифицированной произвольной загрузки файлов в теме WordPress «Alone» для удаленного выполнения кода и полного захвата сайта.

Компания Wordfence сообщает о вредоносной активности, заявляя, что заблокировала более 120 000 попыток эксплуатации уязвимостей, направленных на ее клиентов.

Компания по безопасности WordPress также сообщает, что атаки начались за несколько дней до публичного раскрытия информации об уязвимости, что свидетельствует о том, что злоумышленники отслеживают журналы изменений и исправления, чтобы обнаружить легко эксплуатируемые проблемы до того, как владельцам веб-сайтов будут отправлены оповещения.

Уязвимость, обозначенная как CVE-2025-5394, затрагивает все версии Alone до 7.8.3. Разработчик Bearsthemes исправил её в версии Alone 7.8.5, выпущенной 16 июня 2025 года.

Проблема возникает из-за функции темы «alone_import_pack_install_plugin()», в которой отсутствуют проверки одноразовых значений, и она доступна через хук wp_ajax_nopriv_.

Функция позволяет устанавливать плагины через AJAX и принимает URL-адрес удаленного источника в данных POST, что позволяет неаутентифицированным пользователям инициировать установку плагинов с удаленных URL-адресов.

По данным Wordfence, злоумышленники используют эту уязвимость для загрузки веб-оболочек внутри ZIP-архивов, развертывания защищенных паролем PHP-бэкдоров, которые позволяют постоянное удаленное выполнение команд через HTTP-запросы, или создания скрытых пользователей-администраторов.

В некоторых случаях злоумышленники даже устанавливают полнофункциональные файловые менеджеры, которые дают им полный контроль над базами данных сайта.

Учитывая вышеизложенное, признаками компрометации являются появление новых пользователей-администраторов, подозрительных папок ZIP/плагинов и запросов на «admin-ajax.php?action=alone_import_pack_install_plugin».

Wordfence зафиксировал десятки тысяч попыток эксплуатации с IP-адресов 193.84.71.244, 87.120.92.24, 146.19.213.18 и 2a0b:4141:820:752::2, поэтому их следует немедленно заблокировать.

Объем попыток эксплуатации сайтов, работающих на базе Alone
Источник: Wordfence

Alone — премиум-тема, насчитывающая около 10 000 продаж на рынке Envato , в основном используемая некоммерческими организациями, такими как благотворительные организации, НПО, организации по сбору средств и общественные организации.

Хотя Wordfence отправил отчет Bearsthemes еще 30 мая 2025 года, ответа не последовало, поэтому 12 июня они передали проблему команде Envato.

Четыре дня спустя поставщик выпустил исправленную версию Alone, v7.8.5, которая является рекомендуемой целью обновления для всех пользователей.

В прошлом месяце еще одна премиум-тема WordPress, Motors, подверглась атаке хакеров , которые воспользовались уязвимостью проверки пользователей, чтобы взломать учетные записи администраторов на уязвимых веб-сайтах.