Redazione RHC : 25 junio 2025 08:10
Los atacantes están explotando activamente una vulnerabilidad crítica de escalada de privilegios en el tema WordPress Motors, lo que les permite secuestrar cuentas de administrador y tomar el control total del sitio web objetivo.
La actividad maliciosa fue descubierta por Wordfence, que el mes pasado reportó una vulnerabilidad crítica: CVE-2025-4322, que afecta a todas las versiones del tema Motors hasta la 5.6.67. Este tema, desarrollado por StylemixThemes, cuenta con 22 460 ventas en Envato Market y es muy popular entre los propietarios de sitios web relacionados con la automoción.
El problema está relacionado con el widget Login Register y la validación incorrecta de la identidad del usuario al actualizar la contraseña, lo que permite a atacantes no autenticados cambiar las contraseñas de administrador. Por lo tanto, para explotar el fallo, un atacante primero debe encontrar la URL donde se encuentra el widget consultando /login-register, /account, /reset-password, /signin, etc., mediante solicitudes POST especiales. Estas solicitudes contienen caracteres UTF-8 no válidos en el valor hash_check, lo que provoca comparaciones hash incorrectas al restablecer una contraseña.
El cuerpo del POST contiene el valor stm_new_password, que restablece la contraseña del usuario basándose en los ID que suelen pertenecer a los administradores del sitio.
En mayo, los desarrolladores de StylemixThemes lanzaron la versión 5.6.68, que corrigió CVE-2025-4322, pero muchos usuarios aún no habían instalado las actualizaciones y ahora podrían ser vulnerables a ataques.
Los analistas de Wordfence informaron que los ataques a la nueva vulnerabilidad comenzaron el 20 de mayo, tan solo un día después de que se revelara el problema. Ataques más extensos comenzaron después del 7 de junio de 2025, y Wordfence afirma haber bloqueado ya más de 23 100 intentos de piratería informática contra sus clientes.
Según los expertos, las contraseñas utilizadas por los atacantes en los ataques incluyen:
Una vez obtenido el acceso, los atacantes inician sesión en el panel de WordPress como administradores y crean cuentas administrativas adicionales para hacerse con el control del recurso atacado. Los expertos afirman que la aparición repentina de dichas cuentas, sumada al bloqueo de las cuentas de administrador existentes (cuyas contraseñas ya no funcionan), es una clara señal de explotación de la vulnerabilidad CVE-2025-4322. Se recomienda a los usuarios de Motors que actualicen su tema lo antes posible.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...