Atores de ameaças estão explorando ativamente uma falha crítica no tema Motors para WordPress, que permite alterar senhas de qualquer usuário, inclusive administradores, alerta a empresa de segurança Defiant.
Leia também
SafePay lidera em ameaças cibernéticas
Plataforma promete segurança em devops com I.A.
A vulnerabilidade, identificada como CVE-2025-4322 e com pontuação CVSS de 9,8, resulta de uma falha na validação de identidade durante a recuperação de senha. Com isso, invasores não autenticados podem redefinir senhas arbitrariamente, obtendo controle total sobre o site.
O tema Motors é usado por mais de 22 mil sites, principalmente em negócios de concessionárias de veículos. A falha afeta especificamente o widget de login do tema, onde a função de redefinição de senha não valida corretamente os hashes de usuário.
A vulnerabilidade foi corrigida em 14 de maio, com divulgação pública em 19 de maio. Segundo a Defiant, as primeiras explorações foram detectadas em 20 de maio e a exploração em massa começou em 7 de junho. Desde então, mais de 23 mil tentativas foram bloqueadas.
O comprometimento pode levar ao upload de backdoors disfarçados como plugins ou temas, redirecionamento de visitantes para páginas maliciosas e injeção de spam. Administradores devem atualizar imediatamente para a versão 5.6.68 ou posterior.
