(https://i.imgur.com/auoewv0.jpeg)
Una vulnerabilidad crítica de escalada de privilegios ha sido descubierta en el popular tema premium de WordPress Motors, desarrollado por StylemixThemes. Esta falla de seguridad permite a atacantes no autenticados tomar el control total de los sitios web afectados, incluyendo el secuestro de cuentas de administrador.
¿Qué es el tema Motors de WordPress?Motors es uno de los temas automotrices más vendidos en la plataforma de WordPress. Diseñado específicamente para concesionarios de autos, servicios de alquiler de vehículos y portales de venta de autos usados, este tema ha sido adquirido más de 22.300 veces en Envato Market, donde cuenta con cientos de reseñas positivas y una comunidad de usuarios muy activa.
Detalles de la vulnerabilidad: CVE-2025-4322La falla, identificada como CVE-2025-4322, fue divulgada públicamente por Wordfence, empresa líder en seguridad para WordPress, y registrada en la Base de Datos Nacional de Vulnerabilidades (NVD). Afecta a todas las versiones del tema Motors hasta la 5.6.67 inclusive.
Según Wordfence, el problema reside en que "el tema no valida correctamente la identidad del usuario antes de permitir el cambio de contraseña", lo que habilita a atacantes a:
- Cambiar contraseñas de usuarios arbitrariamente, incluso de administradores.
- Obtener acceso completo al panel de administración de WordPress.
- Instalar malware, robar datos confidenciales y redirigir tráfico a sitios maliciosos.
Actualización de seguridad disponibleEl desarrollador StylemixThemes ha lanzado la versión 5.6.68 del tema Motors el 14 de mayo de 2025, corrigiendo la vulnerabilidad crítica. Se recomienda actualizar de inmediato a esta versión para mitigar riesgos de seguridad.
Debido a que los temas de WordPress son componentes esenciales del sitio y no pueden desactivarse fácilmente sin afectar su funcionalidad, es prioritario instalar esta actualización lo antes posible.
¿Cómo actualizar el tema Motors de forma segura?StylemixThemes proporciona una guía detallada de actualización, con instrucciones para hacerlo a través del panel de administración de WordPress, mediante la API de Envato o manualmente por FTP.
🔒 Recomendación de seguridad: Antes de realizar cualquier actualización del tema, asegúrate de realizar una copia de seguridad completa del sitio web para evitar la pérdida de datos en caso de errores.
¿Quiénes están en mayor riesgo?Aunque esta vulnerabilidad no afecta a un plugin masivamente instalado, como suele ser el caso en otras brechas de seguridad de WordPress, el impacto sigue siendo considerable. Dado su precio elevado —$79 por la licencia regular y $2.000 por la extendida—, Motors es comúnmente utilizado en sitios comerciales activos, lo que aumenta el potencial de explotación por parte de ciberdelincuentes.
Fuente:https://www.bleepingcomputer.com/