Uma falha crítica no tema premium Motors para WordPress permite que invasores não autenticados assumam contas de administrador e controlem completamente sites afetados. O problema de escalonamento de privilégios foi identificado como CVE-2025-4322 e afeta todas as versões do tema até a 5.6.67.
Leia também
CISA lista cinco novos zero-days no Windows
Hacker obtém mensagens do app da equipe de Trump
O Motors, desenvolvido pela StylemixThemes, é amplamente utilizado por empresas do setor automotivo, como concessionárias e locadoras, com mais de 22 mil vendas na plataforma Envato. Segundo a Wordfence, a falha ocorre porque o tema não valida corretamente a identidade do usuário antes de atualizar sua senha, permitindo que senhas arbitrárias, inclusive de administradores, sejam alteradas.
Com acesso administrativo, um invasor pode instalar malware, extrair dados confidenciais ou redirecionar visitantes para sites maliciosos. A StylemixThemes publicou a versão 5.6.68 em 14 de maio de 2025, corrigindo o problema.
Como os temas do WordPress são elementos centrais de um site, a recomendação é atualizar o mais rapidamente possível. O fornecedor oferece instruções para atualização via painel do WordPress, API do Envato ou FTP manual. É essencial fazer um backup completo antes do processo.
Embora não afete milhões de sites como alguns plugins populares, o risco permanece elevado, especialmente considerando que o tema custa US$ 79 na licença comum e até US$ 2.000 na licença estendida, o que indica seu uso por sites corporativos ou comerciais.
