黑客正大肆利用 WordPress Alone 主题中的高危RCE漏洞

阅读量23614

发布时间 : 2025-08-01 17:17:42

x
译文声明

本文是翻译文章,文章原作者 Bill Toulas,文章来源:bleepingcomputer

原文地址:https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-in-wordpress-alone-theme/

译文仅供参考,具体内容表达以及含义原文为准。

攻击者正积极利用 WordPress 主题“Alone”中一个严重的未认证任意文件上传漏洞,实施远程代码执行攻击,并实现对整站的完全控制。

安全公司 Wordfence 报告称,其已拦截超过 12 万次针对该漏洞的利用企图,表明攻击活动十分活跃。

Wordfence 还指出,这些攻击早在漏洞公开披露之前的数日便已开始,显示出攻击者正监控版本更新日志与补丁发布情况,以在网站管理员收到警报前抢先发现并利用可被轻易攻击的问题。该漏洞编号为 CVE-2025-5394影响 Alone 主题 7.8.3 及之前所有版本。开发商 Bearsthemes 已于 2025 年 6 月 16 日发布 Alone 版本 7.8.5 并修复了该漏洞。

问题出在主题中的 alone_import_pack_install_plugin() 函数,该函数缺乏 nonce 检查,且通过 wp_ajax_nopriv_ 钩子暴露,允许通过 AJAX 机制安装插件。该函数接收 POST 数据中的远程源 URL,从而使未经认证的用户可以远程触发插件安装。

据 Wordfence 介绍,攻击者会利用该漏洞上传包含 WebShell 的 ZIP 压缩包,部署受密码保护的 PHP 后门,实现持久的远程命令执行,或创建隐藏的管理员账户。

在某些情况下,攻击者甚至会安装功能完备的文件管理器,从而完全控制网站数据库。

基于上述情况,网站被入侵的迹象包括出现异常管理员账户、可疑的 ZIP/插件文件夹,以及访问 admin-ajax.php?action=alone_import_pack_install_plugin 的请求记录。

Wordfence 记录到大量来自以下 IP 地址的攻击企图:

193.84.71.244

87.120.92.24

146.19.213.18

2a0b:4141:820:752::2

Alone 是一款高级主题,在 Envato 市场上销量接近 1 万份,主要被慈善机构、非政府组织(NGO)、筹款组织及社会团体等非营利组织广泛使用。

尽管 Wordfence 在 2025 年 5 月 30 日便向 Bearsthemes 提交了漏洞报告,但未收到回应,随后于 6 月 12 日将此问题升级通报给 Envato 团队。

四天后,开发商发布了修复版本 Alone 7.8.5,所有用户均被建议尽快升级至该版本以保障安全。

值得注意的是,上个月另一款高级 WordPress 主题 Motors 也遭到黑客攻击,攻击者利用用户验证漏洞劫持了易受攻击网站的管理员账户。

本文翻译自bleepingcomputer 原文链接。如若转载请注明出处。
分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66