聚焦源代码安全,网罗国内外最新资讯!
威胁人员正在活跃利用 “Alone-Charity Multipurpose Non-profit WordPress Theme” 中的一个严重漏洞,接管易受攻击的站点。
该漏洞编号为CVE-2025-5394,CVSS评分9.8,由研究员 Thái An 发现并报送。Wordfence 公司提到,该漏洞与影响该插件7.8.3及之前所有版本的一个任意文件上传漏洞有关,已在2025年6月16日发布的7.8.5版本中修复。该漏洞与名为 “alone_import_pack_install_plugin()” 的插件安装函数有关,因缺少能力检查导致,可允许未认证用户通过AJAX 从远程来源部署任意插件或实现代码执行。
Wordfence 公司的研究员 István Márton 表示,“该漏洞可使未认证攻击者将任意文件上传到易受攻击的站点并实现远程代码执行,一般用于完整的站点接管。”证据显示,该漏洞在7月12日起开始遭利用,仅在该漏洞被公开披露的两天前,这说明威胁人员可能已经活跃监控任何新修复漏洞的代码变更情况。
Wordfence 公司表示,已拦截试图利用该漏洞的120900次利用尝试,攻击源自如下IP地址:
193.84.71.244
87.120.92.24
146.19.213.18
185.159.158.108
188.215.235.94
146.70.10.25
74.118.126.111
62.133.47.18
198.145.157.102
2a0b:4141:820:752::2
在所观测到的攻击中,该漏洞被用于上传一个ZIP 压缩文档("wp-classic-editor.zip" 或 "background-image-cropper.zip"),其中包含一个基于PHP的后门,可执行远程命令和上传其它文件。该攻击还传播功能齐全的文件管理器和后门以创建恶意管理员账号。
要缓解任何潜在威胁,建议使用该主题的 WordPress 站点所有人应用最新更新,检查可疑的管理员账号,并扫描日志中的请求 "/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin."。
Gravity Forms 插件官方下载被安后门,引发WordPress 供应链攻击
WordPress Motors 主题漏洞被大规模用于劫持管理员账号
W3 Total Cache 插件漏洞导致100万WordPress站点遭暴露
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~