Ένα κρίσιμο προνόμιο κλιμάκωσης έχει ανακαλυφθεί στους κινητήρες Premium WordPress Theme, οι οποίοι επιτρέπουν στους μη αυθεντικούς επιτιθέμενους να χρεώνουν λογαριασμούς διαχειριστή και να λαμβάνουν πλήρη έλεγχο των ιστότοπων.
Αναπτύχθηκε από το StyleMixThemes, η Motors είναι ένα από τα κορυφαία θέματα αυτοκινήτων για την πλατφόρμα WordPress. Είναι πολύ δημοφιλές μεταξύ των επιχειρήσεων αυτοκινήτων, όπως οι αντιπροσωπείες αυτοκινήτων, οι υπηρεσίες ενοικίασης και οι χρησιμοποιημένες πλατφόρμες καταχώρισης οχημάτων.
Έχει πάνω από 22.300 πωλήσεις στο Envato αγοράμε εκατοντάδες κριτικές χρηστών και χιλιάδες σχόλια, υποδεικνύοντας μια εξαιρετικά ενεργή κοινότητα γύρω από αυτήν.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-4322, αποκαλύφθηκε δημοσίως από το WordFence νωρίτερα σήμερα και προστέθηκε στην εθνική βάση δεδομένων ευπάθειας (NVD).
Πρόκειται για ένα πρόβλημα κλιμάκωσης προνομίων που επηρεάζει όλες τις εκδόσεις του θέματος των κινητήρων μέχρι και 5.6.67.
“Αυτό (ευπάθεια) οφείλεται στο θέμα που δεν επικυρώνει σωστά την ταυτότητα ενός χρήστη πριν από την ενημέρωση του κωδικού πρόσβασής του”. εξηγεί το WordFence.
“Αυτό επιτρέπει στους μη αυθεντικούς επιτιθέμενους να αλλάξουν αυθαίρετους κωδικούς πρόσβασης χρηστών, συμπεριλαμβανομένων εκείνων των διαχειριστών, και να εκμεταλλευτούν αυτό για να αποκτήσουν πρόσβαση στο λογαριασμό τους”.
Με την απόκτηση πρόσβασης σε επίπεδο διαχειριστή, οι επιτιθέμενοι θα μπορούσαν να εμφυτεύουν κακόβουλο λογισμικό, να εξαντλούν τα περιεχόμενα της βάσης δεδομένων και τα ευαίσθητα στοιχεία των μελών ή να ανακατευθύνουν τους επισκέπτες σε επικίνδυνες τοποθεσίες.
Stylemixthemes Απενεργοποιημένη έκδοση Motors Version 5.6.68, η οποία απευθύνεται στο CVE-2025-4322 στις 14 Μαΐου 2025.
Τα θέματα του WordPress είναι κεντρικά για τους ιστότοπους και δεν μπορούν να απενεργοποιηθούν προσωρινά ή να αντικατασταθούν εύκολα, οπότε η αναβάθμιση στην τελευταία έκδοση το συντομότερο δυνατό είναι κρίσιμο.
Ο πωλητής έχει λεπτομερή ηλεκτρονικός οδηγός Κατά την ενημέρωση των κινητήρων μέσω του πίνακα WordPress, του API Envato ή με το χέρι μέσω FTP.
Είναι σημαντικό να δημιουργήσετε αντίγραφα ασφαλείας του ιστότοπού σας πριν από την ενημέρωση των στοιχείων θεμάτων για την πρόληψη πιθανής απώλειας δεδομένων.
Αν και το ζήτημα δεν επηρεάζει ένα plugin WordPress που είναι ενεργό σε εκατομμύρια ιστότοπους, εξακολουθεί να αποτελεί σημαντικό κίνδυνο.
Δεδομένης της τιμής των 79 δολαρίων για τακτική άδεια και 2.000 δολάρια για μια παρατεταμένη άδεια, η Motors είναι πιο πιθανό να αναπτυχθεί σε ενεργούς ιστότοπους ή για όσους εκτελούν επιχειρήσεις.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
