Hackers se aprovechan de una vulnerabilidad grave en tema de WordPress para instalar plugins maliciosos
Protección contra malware y resguardo de la información
Protección contra aplicaciones maliciosas

Una peligrosa falla de seguridad en el tema de WordPress "Alone – Charity Multipurpose Non-profit" está siendo explotada activamente por ciberdelincuentes para tomar el control total de sitios vulnerables.

La vulnerabilidad, registrada como CVE-2025-5394, tiene una puntuación crítica de 9.8 en la escala CVSS. El fallo fue descubierto y reportado por el investigador de seguridad Thái An.

Según la firma de ciberseguridad Wordfence, el fallo permite la carga arbitraria de archivos y afecta a todas las versiones del tema hasta la 7.8.3. La vulnerabilidad fue corregida en la versión 7.8.5, publicada el 16 de junio de 2025.

El problema reside en la función alone_import_pack_install_plugin(), la cual carece de un control adecuado de permisos. Esto permite a atacantes no autenticados instalar plugins desde fuentes remotas a través de peticiones AJAX, logrando así ejecutar código malicioso en el servidor.

 

Ataques en marcha desde antes de la divulgación

Se ha comprobado que los ataques comenzaron el 12 de julio, dos días antes de que la vulnerabilidad fuera divulgada públicamente, lo que sugiere que los atacantes podrían estar monitoreando los cambios de código en busca de nuevas vulnerabilidades.

Wordfence ha bloqueado hasta la fecha más de 120,900 intentos de explotación relacionados con esta falla. Los ataques se han originado desde direcciones IP como:

  • 193.84.71.244
  • 87.120.92.24
  • 146.19.213.18
  • 185.159.158.108
  • 188.215.235.94
  • 146.70.10.25
  • 74.118.126.111
  • 62.133.47.18
  • 198.145.157.102
  • 2a0b:4141:820:752::2

Durante los ataques, los hackers han utilizado archivos ZIP como "wp-classic-editor.zip" y "background-image-cropper.zip", que contienen puertas traseras en PHP. Estos archivos permiten ejecutar comandos remotos, subir más archivos maliciosos y hasta crear cuentas de administrador ilegítimas.

 

Recomendaciones de seguridad

Wordfence recomienda las siguientes medidas:

  • Actualizar de inmediato a la versión 7.8.5.
  • Revisar la existencia de usuarios administradores sospechosos.
  • Analizar los registros del sitio en busca de accesos a "/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin".

 

Más información

Fuente: https://thehackernews.com/

Contenido relacionado