Hackers estão ativamente a explorar uma vulnerabilidade crítica de escalada de privilégios no popular tema para WordPress "Motors". O objetivo é sequestrar contas de administrador e obter o controlo completo dos sites vulneráveis.
O alerta foi dado pela empresa de segurança Wordfence, que já no mês passado tinha avisado sobre a gravidade da falha, identificada como CVE-2025-4322, apelando a todos os utilizadores para que atualizassem imediatamente.
Desenvolvido pela StylemixThemes, o Motors é um tema de WordPress bastante popular em sites relacionados com o setor automóvel, contando com mais de 22.460 vendas no mercado EnvatoMarket e uma comunidade de utilizadores ativa.
Milhares de ataques já bloqueados: a urgência de atualizar
A vulnerabilidade de escalada de privilégios foi descoberta a 2 de maio de 2025 e reportada pela primeira vez pela Wordfence a 19 de maio, afetando todas as versões do tema até à 5.6.67, inclusive. A falha reside numa validação incorreta da identidade do utilizador durante o processo de atualização da password, permitindo que atacantes não autenticados consigam alterar a palavra-passe de um administrador à sua vontade.
A StylemixThemes lançou a versão 5.6.68 do tema Motors a 14 de maio de 2025, que corrige esta vulnerabilidade. No entanto, muitos utilizadores não aplicaram a atualização a tempo, ficando expostos a um risco elevado de exploração após a divulgação pública dos detalhes técnicos.
Conforme a Wordfence confirma numa nova publicação, os ataques começaram a 20 de maio, apenas um dia após a divulgação. A 7 de junho de 2025, já se observavam ataques em larga escala, com a empresa a reportar o bloqueio de 23.100 tentativas contra os sites dos seus clientes.
Como funciona o ataque e sinais de que foi comprometido
O ponto fraco encontra-se no widget "Login Register" do tema Motors, especificamente na sua funcionalidade de recuperação de password. O atacante localiza primeiro o URL onde este widget está a ser utilizado, sondando vários endereços comuns (/login-register, /account, /reset-password, etc.) com pedidos POST especialmente manipulados.
O pedido malicioso contém caracteres UTF-8 inválidos num valor designado 'hash_check'. Este erro provoca uma falha na lógica de comparação do hash durante o reset da password, fazendo com que o sistema aceite incorretamente o pedido. Com o caminho livre, o atacante envia um novo pedido POST que contém o campo 'stm_new_password', redefinindo a palavra-passe para o ID de utilizador visado, que tipicamente corresponde a uma conta de administrador.
Uma vez obtido o acesso, os atacantes entram no painel de controlo do WordPress como administradores e criam novas contas de administrador para garantir persistência no sistema.
Os principais sinais de que um site foi comprometido através desta falha são:
- O aparecimento súbito de novas contas de administrador que não reconhece.
- Os administradores existentes ficam bloqueados, com as suas passwords a deixarem de funcionar.
Entre as passwords que os atacantes têm sido observados a definir, encontram-se:
Testtest123!@#rzkkd$SP3znjrnKurd@Kurd12123owm9cpXHAZTkdb250WJUNEiG
A Wordfence listou ainda vários endereços IP que estão a ser utilizados para lançar estes ataques. Recomenda-se que os proprietários de sites WordPress os adicionem à sua lista de bloqueio como medida de precaução. Se utiliza o tema Motors, a atualização para a versão 5.6.68 ou superior é crítica e urgente.
Nenhum comentário
Seja o primeiro!