Os piratas informáticos estão a explorar ativamente uma vulnerabilidade crítica no tema premium 'Alone' para WordPress, que permite o upload de ficheiros arbitrários sem qualquer tipo de autenticação. A exploração desta falha pode resultar na execução remota de código e, em última instância, no controlo total dos websites afetados.
A empresa de segurança Wordfence foi quem deu o alerta, revelando que já bloqueou mais de 120.000 tentativas de exploração dirigidas aos seus clientes. De forma preocupante, a empresa relata que os ataques começaram vários dias antes da divulgação pública da vulnerabilidade, o que sugere que os atacantes estão a monitorizar de perto os registos de alterações e os patches de software para descobrir falhas fáceis de explorar antes que os administradores dos sites sejam notificados.
Como funciona o ataque
A vulnerabilidade, identificada como CVE-2025-5394, afeta todas as versões do tema 'Alone' até à 7.8.3. A empresa responsável pelo tema, a Bearsthemes, corrigiu o problema na versão 7.8.5, lançada a 16 de junho de 2025.
O problema reside na função alone_import_pack_install_plugin() do tema, que não possui verificações de segurança adequadas (nonce checks) e está exposta através de uma ação AJAX acessível publicamente. Esta função permite a instalação de plugins a partir de um URL remoto, o que abre a porta para que utilizadores não autenticados possam forçar a instalação de um plugin malicioso no website.
As consequências: de backdoors a administradores falsos
Segundo a Wordfence, os atacantes estão a tirar partido desta falha para carregar webshells dentro de arquivos ZIP, instalando backdoors em PHP protegidos por palavra-passe. Estes backdoors garantem uma porta de entrada persistente para executar comandos remotamente através de simples pedidos HTTP.
Noutros casos, os atacantes foram observados a criar utilizadores administradores ocultos ou a instalar gestores de ficheiros completos, que lhes conferem controlo absoluto sobre as bases de dados e todos os ficheiros do site.
Os sinais de que um site pode ter sido comprometido incluem:
O aparecimento de novos utilizadores administradores suspeitos na plataforma.
A existência de pastas de plugins ou ficheiros ZIP com nomes estranhos no servidor.
Registos de acesso ao ficheiro
admin-ajax.phpcom a açãoalone_import_pack_install_plugin.
Atualização é urgente
O 'Alone' é um tema bastante popular, com quase 10.000 vendas no mercado Envato, sendo utilizado maioritariamente por organizações sem fins lucrativos, como instituições de caridade, ONGs e organizações de angariação de fundos.
Apesar de a Wordfence ter contactado a Bearsthemes a 30 de maio de 2025, a falta de resposta levou a que o caso fosse escalado para a equipa da Envato a 12 de junho. Quatro dias depois, o vendedor lançou a versão corrigida, a 7.8.5, que é a atualização recomendada para todos os utilizadores do tema. Se utiliza o tema 'Alone', a recomendação é clara e urgente: atualize imediatamente para a versão mais recente.
Nenhum comentário
Seja o primeiro!