WordPress тема Motors опинилася в епіцентрі потужної хвилі кіберзлочинності через критичну уразливість безпеки CVE-2025-4322. Ця брешь дозволяє зловмисникам отримувати повний адміністративний контроль над веб-сайтами без будь-якої авторизації, створюючи серйозну загрозу для понад 22 тисяч інсталяцій по всьому світу.
Детальний аналіз уразливості CVE-2025-4322
Дослідники компанії Wordfence виявили серйозний недолік у всіх версіях теми Motors до 5.6.67 включно. Корінь проблеми лежить у неправильній імплементації функції скидання пароля в віджеті Login Register, розробленому StylemixThemes.
Механізм експлуатації базується на недостатній валідації користувацьких даних під час процедури зміни пароля. Кіберзлочинці використовують спеціально сконструйовані POST-запити з некоректними UTF-8 символами в параметрі hash_check, що призводить до збою в системі порівняння хешів безпеки.
Методологія проведення атак
Зловмисники використовують системний підхід до компрометації цільових ресурсів. Спочатку відбувається сканування сайтів на наявність вразливих сторінок через стандартні URL-адреси: /login-register, /account, /reset-password, /signin. Після виявлення точки входу хакери надсилають шкідливі запити з параметром stm_new_password, що дозволяє змінювати пароль адміністратора без аутентифікації.
Статистика та динаміка кіберінцидентів
Незважаючи на те, що виправлення було випущено у версії 5.6.68 ще в травні 2025 року, значна кількість користувачів досі використовує вразливі версії теми. Це створило сприятливе середовище для активізації кіберзлочинців.
Аналітичні дані Wordfence показують тривожну тенденцію: атаки розпочалися одразу після публічного розкриття інформації про уразливість 20 травня. Пік активності припав на період після 7 червня, коли зафіксовано різке зростання кількості спроб злому. На поточний момент системи безпеки заблокували понад 23 100 атак на клієнтські ресурси.
Стратегії закріплення кіберзлочинців у системах
Після успішного отримання адміністративних привілеїв хакери реалізують відпрацьовану схему утримання контролю над скомпрометованими системами. Вони створюють додаткові адміністративні облікові записи з високими привілеями, забезпечуючи собі постійний доступ навіть у випадку виявлення початкової компрометації.
Ключовими індикаторами успішної експлуатації CVE-2025-4322 є раптова поява невідомих адміністративних акаунтів та одночасне блокування легітимних облікових записів адміністраторів через зміну паролів.
Комплексні заходи захисту та відновлення
Власникам веб-ресурсів, що використовують тему Motors, критично важливо негайно оновитися до останньої версії. Додатково необхідно провести повний аудит всіх адміністративних облікових записів для виявлення несанкціонованих акаунтів.
У разі виявлення ознак компрометації рекомендується змінити всі паролі адміністраторів, видалити підозрілі облікові записи та провести комплексне сканування сайту на наявність шкідливого коду. Цей інцидент яскраво демонструє критичну важливість своєчасного застосування оновлень безпеки та постійного моніторингу адміністративного доступу до веб-ресурсів. Проактивний підхід до кібербезпеки залишається найефективнішим способом захисту від сучасних кіберзагроз.
