攻击者正积极利用 WordPress 主题“Alone”中一个严重的未认证任意文件上传漏洞,实施远程代码执行攻击,并实现对整站的完全控制。
安全公司 Wordfence 报告称,其已拦截超过 12 万次针对该漏洞的利用企图,表明攻击活动十分活跃。
Wordfence 还指出,这些攻击早在漏洞公开披露之前的数日便已开始,显示出攻击者正监控版本更新日志与补丁发布情况,以在网站管理员收到警报前抢先发现并利用可被轻易攻击的问题。该漏洞编号为 CVE-2025-5394,影响 Alone 主题 7.8.3 及之前所有版本。开发商 Bearsthemes 已于 2025 年 6 月 16 日发布 Alone 版本 7.8.5 并修复了该漏洞。
问题出在主题中的 alone_import_pack_install_plugin() 函数,该函数缺乏 nonce 检查,且通过 wp_ajax_nopriv_ 钩子暴露,允许通过 AJAX 机制安装插件。该函数接收 POST 数据中的远程源 URL,从而使未经认证的用户可以远程触发插件安装。
据 Wordfence 介绍,攻击者会利用该漏洞上传包含 WebShell 的 ZIP 压缩包,部署受密码保护的 PHP 后门,实现持久的远程命令执行,或创建隐藏的管理员账户。
在某些情况下,攻击者甚至会安装功能完备的文件管理器,从而完全控制网站数据库。
基于上述情况,网站被入侵的迹象包括出现异常管理员账户、可疑的 ZIP/插件文件夹,以及访问 admin-ajax.php?action=alone_import_pack_install_plugin 的请求记录。
Wordfence 记录到大量来自以下 IP 地址的攻击企图:
193.84.71.244
87.120.92.24
146.19.213.18
2a0b:4141:820:752::2
Alone 是一款高级主题,在 Envato 市场上销量接近 1 万份,主要被慈善机构、非政府组织(NGO)、筹款组织及社会团体等非营利组织广泛使用。
尽管 Wordfence 在 2025 年 5 月 30 日便向 Bearsthemes 提交了漏洞报告,但未收到回应,随后于 6 月 12 日将此问题升级通报给 Envato 团队。
四天后,开发商发布了修复版本 Alone 7.8.5,所有用户均被建议尽快升级至该版本以保障安全。
值得注意的是,上个月另一款高级 WordPress 主题 Motors 也遭到黑客攻击,攻击者利用用户验证漏洞劫持了易受攻击网站的管理员账户。
发表评论
您还未登录,请先登录。
登录