Хакери використовують критичну вразливість ескалації привілеїв у темі WordPress “Motors”, щоб захопити облікові записи адміністраторів та отримати повний контроль над цільовим сайтом. Шкідливу активність помітила компанія Wordfence, яка минулого місяця попереджала про серйозність недоліку, що відстежувався під номером CVE-2025-4322, та закликала користувачів негайно оновитися.
«Motors», розроблена StylemixThemes, — це тема WordPress, популярна серед веб-сайтів, пов’язаних з автомобільною тематикою. Вона має 22 460 продажів на EnvatoMarket і підтримується активною спільнотою користувачів. Уразливість, що призводить до ескалації привілеїв, була виявлена 2 травня 2025 року, а вперше про неї повідомив Wordfence 19 травня. Вона вплинула на всі версії до 5.6.67 включно.
Вразливість виникає через неправильну перевірку особи користувача під час оновлення пароля, що дозволяє неавтентифікованим зловмисникам змінювати паролі адміністратора за бажанням. StylemixThemes випустила Motors версії 5.6.68, яка вирішує проблему CVE-2025-4322, 14 травня 2025 року, але багато користувачів не встановили оновлення після розкриття інформації Wordfence та наражалися на підвищений ризик експлуатації.
Як підтверджує Wordfence у своїй новій статті, атаки розпочалися 20 травня, лише через день після публічного розкриття деталей. Масштабні атаки спостерігалися до 7 червня 2025 року, і Wordfence повідомив про блокування 23 100 спроб атак проти своїх клієнтів.
Процес атаки та ознаки порушення
Вразливість знаходиться у віджеті «Реєстрація входу» теми Motors, включаючи функцію відновлення пароля. Зловмисник спочатку знаходить URL-адресу, де розміщено цей віджет, зондуючи /login-register, /account, /reset-password, /signin тощо за допомогою спеціально створених POST-запитів, доки не отримає результат.
Запит містить недійсні символи UTF-8 у шкідливому значенні «hash_check», що призводить до неправильного порівняння хешів у логіці скидання пароля. Тіло POST містить значення ‘stm_new_password’, яке скидає пароль користувача, орієнтуючись на ідентифікатори користувачів, які зазвичай відповідають користувачам-адміністраторам.
Серед паролів, встановлених зловмисниками під час атак, які спостерігалися досі:
- Тесттест123!@#
- rzkkd$SP3znjrn
- Курд@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG
Після отримання доступу зловмисники входять до панелі інструментів WordPress як адміністратори та створюють нові облікові записи адміністраторів для постійного доступу. Раптова поява таких облікових записів у поєднанні з блокуванням існуючих адміністраторів (паролі більше не працюють) є ознаками експлуатації CVE-2025-4322. Wordfence також перерахував у звіті кілька IP-адрес, з яких запускаються ці атаки, і власникам сайтів WordPress рекомендується додати їх до списку блокування.
