Los actores de amenazas están explotando activamente una falla de seguridad crítica en “Solo – Tema de WordPress multipropósito sin fines de lucro para organizaciones benéficas” para apoderarse de sitios susceptibles.
La vulnerabilidad, rastreada como CVE-2025-5394, tiene una puntuación CVSS de 9,8. Al investigador de seguridad Thái An se le atribuye el descubrimiento y el informe del error.
Según Wordfence, la deficiencia se relaciona con una carga de archivos arbitraria que afecta a todas las versiones del complemento anteriores a la 7.8.3 inclusive. Se abordó en la versión 7.8.5 publicada el 16 de junio de 2025.
CVE-2025-5394 tiene sus raíces en una función de instalación de complementos llamada “alone_import_pack_install_plugin()” y surge de una verificación de capacidad faltante, lo que permite a los usuarios no autenticados implementar complementos arbitrarios desde fuentes remotas a través de AJAX y lograr la ejecución del código.
“Esta vulnerabilidad permite que un atacante no autenticado cargue archivos arbitrarios en un sitio vulnerable y logre la ejecución remota de código, que normalmente se aprovecha para una toma completa del sitio”, dijo István Márton de Wordfence dijo.
La evidencia muestra que CVE-2025-5394 comenzó a explotarse a partir del 12 de julio, dos días antes de que la vulnerabilidad se revelara públicamente. Esto indica que los actores de amenazas detrás de la campaña pueden haber estado monitoreando activamente los cambios de código para detectar cualquier vulnerabilidad recientemente abordada.
La compañía dijo que ya ha bloqueado 120.900 intentos de explotación dirigidos a la falla. La actividad se ha originado a partir de las siguientes direcciones IP:
- 193.84.71.244
- 87.120.92.24
- 146.19.213.18
- 185.159.158.108
- 188.215.235.94
- 146.70.10.25
- 74.118.126.111
- 62.133.47.18
- 198.145.157.102
- 2a0b:4141:820:752::2
En los ataques observados, la falla se promedia para cargar un archivo ZIP (“wp-classic-editor.zip” o “background-image-cropper.zip”) que contiene una puerta trasera basada en PHP para ejecutar comandos remotos y cargar archivos adicionales. También se entregan administradores de archivos con todas las funciones y puertas traseras capaces de crear cuentas de administrador fraudulentas.
Para mitigar cualquier amenaza potencial, se recomienda a los propietarios de sitios de WordPress que utilicen el tema que apliquen las últimas actualizaciones, verifiquen si hay usuarios administradores sospechosos y escaneen los registros en busca de la solicitud “/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin.”
Fuente: wordfence.com.