(https://www.bleepstatic.com/content/hl-images/2021/02/11/WordPress-headpic.jpg)
Los actores de amenazas están explotando activamente una vulnerabilidad crítica de carga arbitraria de archivos no autenticados en el tema de WordPress «Alone» para ejecutar código remoto y tomar el control total del sitio.
Wordfence informa sobre la actividad maliciosa y afirma haber bloqueado más de 120 000 intentos de explotación dirigidos a sus clientes.
La empresa de seguridad de WordPress también informa que los ataques comenzaron varios días antes de la divulgación pública de la falla, lo que indica que los actores de amenazas están monitoreando los registros de cambios y los parches para descubrir problemas fácilmente explotables antes de enviar alertas a los propietarios de los sitios web.
La vulnerabilidad, identificada como CVE-2025-5394, afecta a todas las versiones de Alone hasta la 7.8.3. El proveedor, Bearsthemes, lo corrigió en la versión 7.8.5 de Alone, publicada el 16 de junio de 2025.
El problema se debe a la función 'alone_import_pack_install_plugin()' del tema, que carece de comprobaciones de nonce y se expone mediante el gancho wp_ajax_nopriv_.
Esta función permite la instalación de plugins mediante AJAX y acepta una URL de origen remota en los datos POST, lo que permite a usuarios no autenticados activar la instalación de plugins desde URL remotas.
Según Wordfence, los atacantes aprovechan la vulnerabilidad para cargar webshells dentro de archivos ZIP, implementar puertas traseras PHP protegidas con contraseña que permiten la ejecución remota persistente de comandos mediante solicitudes HTTP o crear usuarios administradores ocultos.
En algunos casos, los atacantes incluso instalan administradores de archivos completos que les otorgan control total sobre las bases de datos del sitio.
Dado lo anterior, entre las señales de vulnerabilidad se incluyen la aparición de nuevos usuarios administradores, carpetas ZIP/plugins sospechosas y solicitudes a 'admin-ajax.php?action=alone_import_pack_install_plugin'.
Wordfence registró decenas de miles de intentos de explotación desde las direcciones IP 193.84.71.244, 87.120.92.24, 146.19.213.18 y 2a0b:4141:820:752::2, por lo que deberían bloquearse de inmediato.
Volumen de intentos de explotación contra sitios web impulsados por Alone
(https://www.bleepstatic.com/images/news/u/1220909/2025/July/exploit-volume.jpg)
Alone es un tema premium con casi 10 000 ventas en el mercado de Envato, utilizado principalmente por organizaciones sin ánimo de lucro como organizaciones benéficas, ONG, organizaciones de recaudación de fondos y organizaciones sociales.
Aunque Wordfence envió un informe a Bearsthemes el 30 de mayo de 2025, no recibieron respuesta, por lo que escalaron el problema al equipo de Envato el 12 de junio.
Cuatro días después, el proveedor lanzó una versión corregida de Alone, la v7.8.5, que es la actualización recomendada para todos los usuarios.
El mes pasado, otro tema premium de WordPress, Motors, fue atacado por hackers que aprovecharon una vulnerabilidad de validación de usuarios para secuestrar cuentas de administrador en sitios web vulnerables.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-in-wordpress-alone-theme/