Os agentes de ameaças estão explorando ativamente uma vulnerabilidade crítica de upload de arquivo arbitrário não autenticado no tema WordPress ‘Alone’, para obter a execução remota de código e realizar uma aquisição completa do site.
A Wordfence está relatando a atividade maliciosa, dizendo que bloqueou mais de 120.000 tentativas de exploração direcionadas a seus clientes.
A empresa de segurança WordPress também relata que os ataques começaram vários dias antes da divulgação pública da falha, indicando que os agentes de ameaças estão monitorando changelogs e patches para descobrir problemas trivialmente exploráveis antes que os alertas sejam enviados aos proprietários de sites.
A vulnerabilidade, rastreada sob CVE-2025-5394, afeta todas as versões do Alone até 7.8.3. O fornecedor, Bearsthemes, corrigiu na versão 7.8.5 do Alone, lançada em 16 de junho de 2025.
O problema decorre da função ‘alone_import_pack_install_plugin()’ do tema, que não possui verificações de nonce e é exposta por meio do gancho wp_ajax_nopriv_.
A função permite a instalação de plug-ins via AJAX e aceita uma URL de origem remota nos dados POST, permitindo que usuários não autenticados acionem instalações de plug-ins de URLs remotas.
De acordo com o Wordfence, os invasores aproveitam a falha para fazer upload de webshells dentro de arquivos ZIP, implantar backdoors PHP protegidos por senha que permitem a execução remota persistente de comandos por meio de solicitações HTTP ou criar usuários administradores ocultos.
Em alguns casos, os invasores até instalam gerenciadores de arquivos completos que lhes dão controle total sobre os bancos de dados do site.
Diante do exposto, os sinais de comprometimento incluem o aparecimento de novos usuários administradores, pastas ZIP/plug-in suspeitas e solicitações para ‘admin-ajax.php?action=alone_import_pack_install_plugin’.
O Wordfence registrou dezenas de milhares de tentativas de exploração dos endereços IP 193.84.71.244, 87.120.92.24, 146.19.213.18 e 2a0b:4141:820:752::2, portanto, eles devem ser bloqueados imediatamente.
10.000 vendas no mercado Envato, usado principalmente por organizações sem fins lucrativos, como instituições de caridade, ONGs, organizações de arrecadação de fundos e organizações sociais.
Embora a Wordfence tenha enviado um relatório à Bearsthemes já em 30 de maio de 2025, eles não obtiveram resposta, então encaminharam o problema para a equipe da Envato em 12 de junho.
Quatro dias depois, o fornecedor lançou uma versão corrigida do Alone, v7.8.5, que é o destino de atualização recomendado para todos os usuários.
No mês passado, outro tema premium do WordPress, Motors, foi alvo de hackers que explorou uma falha de validação do usuário para sequestrar contas de administrador em sites vulneráveis.
