Kritická aktívne zneužívaná zraniteľnosť vo WordPress doplnku Alone

WordPress webstránky využívajúce tému menom Alone, sú aktívne zneužívané na vzdialené vykonávanie škodlivého kódu cez kritickú zraniteľnosť. Toto zneužitie bolo detegované už vo viac ako 120 tisíc prípadoch.

Zraniteľné systémy:

• Téma Alone všetky verzie po 7.8.3

Opis zraniteľností:

CVE-2025-5394 (CVSS 3.1 skóre 9.8)

Webstránky využívajúce túto tému sú napádané cez nevyžiadané nahrávanie súboru, kvôli chýbajúcej funkcionalite nonce overenia vo funkcii alone_import_pack_install_plugin(). Týmto umožňuje pluginu inštaláciu cez AJAX a akceptuje URL adresu vzdialeného zdroja v POST dátach, čo umožňuje neautentifikovaným používateľom spustiť sťahovanie doplnkov zo vzdialených URL adries. Toto je znežívané na sťahovanie zip archívov obsahujúcich škodlivý kód.

Možné škody:

• Vzdialené vykonávanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Prevádzkovateľ témy Alone odporúča používateľom okamžitú aktualizáciu na verziu 7.8.5

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2025-5394
• https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-in-wordpress-alone-theme/
• https://www.wiz.io/vulnerability-database/cve/cve-2025-5394
• https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html