Популярная WordPress-тема Motors стала мишенью массированных кибератак, использующих критическую брешь в системе безопасности. Уязвимость CVE-2025-4322 позволяет неавторизованным злоумышленникам получать полный административный доступ к веб-сайтам, что создает серьезную угрозу для более чем 22 000 установок по всему миру.
Техническая природа уязвимости в Motors
Обнаруженная исследователями Wordfence уязвимость затрагивает все версии темы Motors до 5.6.67 включительно. Проблема кроется в некорректной реализации функционала сброса пароля в виджете Login Register, разработанном компанией StylemixThemes.
Механизм эксплуатации базируется на недостаточной валидации пользовательских данных при процедуре смены пароля. Злоумышленники используют специально сформированные POST-запросы, содержащие некорректные UTF-8 символы в параметре hash_check, что приводит к сбою в процессе сравнения хешей безопасности.
Алгоритм атаки
Процесс компрометации происходит поэтапно. Сначала атакующие сканируют целевые сайты на предмет наличия уязвимых страниц, проверяя стандартные URL-адреса: /login-register, /account, /reset-password, /signin. После обнаружения точки входа злоумышленники отправляют вредоносные запросы с параметром stm_new_password, позволяющим изменить пароль администратора без какой-либо аутентификации.
Масштаб и динамика кибератак
Несмотря на то, что исправление было выпущено в версии 5.6.68 еще в мае 2025 года, значительная часть пользователей продолжает использовать уязвимые версии темы. Это создало благоприятную среду для киберпреступников.
Аналитические данные Wordfence демонстрируют тревожную статистику: атаки начались практически сразу после публичного раскрытия информации о уязвимости 20 мая. Пик активности пришелся на период после 7 июня, когда было зафиксировано резкое увеличение числа попыток взлома. На текущий момент система безопасности заблокировала более 23 100 атак, направленных на клиентские ресурсы.
Тактика закрепления злоумышленников
После успешного получения административного доступа киберпреступники следуют отработанной схеме закрепления в системе. Они создают дополнительные административные учетные записи с высокими привилегиями, обеспечивая себе постоянный доступ даже в случае обнаружения первоначальной компрометации.
Характерными признаками успешной эксплуатации CVE-2025-4322 являются внезапное появление неизвестных административных аккаунтов и одновременная блокировка легитимных учетных записей администраторов через смену паролей.
Рекомендации по защите и восстановлению
Владельцам сайтов, использующих тему Motors, необходимо немедленно выполнить обновление до последней версии. Дополнительно следует провести аудит всех административных учетных записей на предмет выявления несанкционированно созданных аккаунтов.
В случае обнаружения признаков компрометации рекомендуется сменить все пароли администраторов, удалить подозрительные учетные записи и провести полное сканирование сайта на предмет наличия вредоносного кода. Данный инцидент подчеркивает критическую важность своевременного применения обновлений безопасности и регулярного мониторинга административного доступа к веб-ресурсам.
