Underc0de

Una vulnerabilidad crítica de escalada de privilegios está siendo explotada activamente por ciberdelincuentes en el popular tema de WordPress Motors, desarrollado por StylemixThemes, permitiendo a los atacantes tomar el control total del sitio web al secuestrar cuentas de administrador.

¿Qué es CVE-2025-4322 y cómo afecta a los sitios con el tema Motors?
La falla, rastreada como CVE-2025-4322, fue detectada por el equipo de seguridad de Wordfence, que alertó sobre su gravedad a principios de mayo de 2025. La vulnerabilidad afecta a todas las versiones de Motors anteriores a la 5.6.67 e involucra una validación inadecuada de identidad del usuario durante el proceso de restablecimiento de contraseña.

Este error permite a actores no autenticados manipular el sistema de recuperación de contraseñas y cambiar la contraseña de cuentas de administrador, sin necesidad de credenciales previas. Wordfence recomendó aplicar de inmediato la versión corregida 5.6.68, lanzada por StylemixThemes el 14 de mayo de 2025, pero muchos usuarios no actualizaron sus sitios a tiempo.

Explotación activa y escala de los ataques

El 20 de mayo de 2025, un día después de que Wordfence hiciera pública la falla, se comenzaron a observar ataques en entornos reales. Para el 7 de junio, la actividad maliciosa había escalado drásticamente, con más de 23.100 intentos de explotación bloqueados por Wordfence en sitios protegidos.

El tema Motors es ampliamente utilizado por sitios relacionados con el sector automotriz y cuenta con más de 22,000 instalaciones activas adquiridas a través de EnvatoMarket. Su popularidad lo convierte en un objetivo especialmente atractivo para campañas de ataques automatizados y dirigidos.

Detalles técnicos del ataque y cómo se ejecuta

La vulnerabilidad reside en el widget "Registro de inicio de sesión" del tema, específicamente en su funcionalidad de recuperación de contraseña. El proceso de ataque incluye los siguientes pasos:

• Descubrimiento de URL: El atacante localiza rutas comunes donde se encuentra el widget, como /login-register, /account, /reset-password, y /signin.
• Envía una solicitud POST manipulada: Utiliza un valor hash_check con caracteres UTF-8 inválidos, lo que fuerza un error de comparación en la lógica de validación.
• Cambio de contraseña de administrador: Inserta un campo stm_new_password con una nueva contraseña para un ID de usuario que corresponde al rol de administrador.
• Acceso total y persistencia: Una vez dentro del panel de WordPress, el atacante crea nuevas cuentas de administrador y bloquea a los usuarios legítimos al cambiar sus credenciales.

Entre las contraseñas maliciosas utilizadas se han identificado ejemplos como:

• ¡Prueba123! No tienes permitido ver enlaces. Registrate o Entra a tu cuenta#
• rzkkd$SP3znjrn
• KurdNo tienes permitido ver enlaces. Registrate o Entra a tu cuentaKurd12123
• owm9cpXHAZTk
• db250WJUNEiG

Estos valores son indicativos de accesos no autorizados y pueden ayudar a identificar si un sitio ha sido comprometido.

Señales de que tu sitio puede estar comprometido

Si utilizas el tema Motors en una versión vulnerable, debes estar alerta ante los siguientes signos de explotación de CVE-2025-4322:

• Aparición de cuentas de administrador desconocidas.
• Imposibilidad de iniciar sesión con cuentas legítimas (contraseñas modificadas).
• Cambios no autorizados en la configuración del sitio.
• Creación de publicaciones o enlaces externos no solicitados.

Wordfence también ha publicado un listado de direcciones IP involucradas en los ataques, recomendando su inclusión inmediata en las listas de bloqueo de firewalls y sistemas de seguridad web.

Recomendaciones urgentes para administradores de WordPress

• Actualiza el tema Motors a la versión 5.6.68 o superior sin demora.
• Revisa todos los registros de acceso recientes y cuentas de usuario con privilegios elevados.
• Implementa un firewall de aplicaciones web (WAF) para bloquear ataques automatizados.
• Cambia las contraseñas de administrador y fuerza el restablecimiento para todos los usuarios críticos.
• Utiliza plugins de seguridad como Wordfence o iThemes Security para monitoreo continuo.

Una advertencia más sobre la importancia de las actualizaciones

El caso de CVE-2025-4322 demuestra una vez más la necesidad de aplicar actualizaciones de seguridad de forma inmediata, especialmente en temas y plugins populares de WordPress. Las fallas de escalada de privilegios pueden comprometer completamente la integridad del sitio y la seguridad de los datos de los usuarios.

Mantener una política de actualización proactiva, monitoreo constante y defensa en profundidad es esencial para proteger cualquier presencia digital en 2025 y más allá.

Fuente: https://www.bleepingcomputer.com/