CVE-2025-4322: одна строка кода заставила тысячи сайтов сдаться хакерам без сопротивления
NewsMakerСначала сброс пароля. Потом новый админ. Потом — ты полностью теряешь контроль.
Критическая уязвимость в визуальной теме WordPress под названием "Motors" позволила хакерам массово захватывать административные аккаунты и получать полный контроль над уязвимыми сайтами. Уязвимость, обозначенная как CVE-2025-4322, представляет собой уязвимость повышения привилегий и была впервые обнаружена 2 мая 2025 года. Проблему изучила команда безопасности Wordfence , которая 19 мая опубликовала отчёт и рекомендовала всем пользователям немедленно обновить уязвимый компонент.
Motors — это коммерческая тема для WordPress, разработанная компанией StylemixThemes. В контексте WordPress "тема" — это шаблон оформления и набора функций, определяющий внешний вид сайта, структуру страниц, пользовательский интерфейс и часто — дополнительную логику взаимодействия. Тема Motors особенно популярна среди сайтов, связанных с автомобильной тематикой — продажей машин, автосалонами, агрегаторами объявлений. Её можно приобрести через маркетплейс EnvatoMarket, где она была продана более 22 460 раз.
Уязвимость затрагивает все версии темы до и включая 5.6.67. Исправление было выпущено 14 мая в версии 5.6.68. Однако многие владельцы сайтов не установили обновление вовремя, и уже 20 мая — через сутки после публикации деталей уязвимости — начались реальные атаки. По состоянию на 7 июня Wordfence зафиксировала 23 100 попыток эксплуатации.
Уязвимость была найдена во встроенном виджете темы "Login Register", который отвечает за регистрацию, авторизацию и восстановление пароля пользователей. Именно в функции сброса пароля и содержится ключевая ошибка.
Механизм атаки начинается с того, что злоумышленник пытается определить, по какому адресу на сайте размещён виджет — обычно это /login-register, /account, /reset-password, /signin или аналогичные пути. Он отправляет специальные POST-запросы с поддельными данными, пока не получает корректный ответ от сервера, сигнализирующий, что форма найдена.
После этого в теле запроса подставляется вредоносное значение в параметре 'hash_check', намеренно содержащем некорректные символы в кодировке UTF-8. Из-за особенностей обработки таких символов сравнение хэшей в механизме сброса пароля выдаёт ложноположительный результат — и система считает запрос допустимым.
Затем атакующий указывает новое значение пароля через параметр 'stm_new_password', выбирая ID учётной записи, которая почти всегда принадлежит администратору (в WordPress ID=1 по умолчанию — это первый созданный пользователь, как правило с максимальными правами).
Таким образом, злоумышленник сбрасывает пароль для администратора, получает полный доступ к админ-панели сайта и может создать новых пользователей с теми же правами для сохранения контроля.
Wordfence указывает, что симптомами успешной атаки являются внезапная невозможность входа под прежними административными учётными данными и появление новых пользователей с правами администратора, которых ранее не было. Это прямое свидетельство эксплуатации CVE-2025-4322.
Также в отчёте перечислены IP-адреса, с которых производились атаки, и рекомендовано добавлять их в чёрный список веб-серверов. Это может временно остановить массовые попытки взлома.
На данный момент известны конкретные пароли, которые злоумышленники использовали при сбросе админ-доступа:
Критическая уязвимость в визуальной теме WordPress под названием "Motors" позволила хакерам массово захватывать административные аккаунты и получать полный контроль над уязвимыми сайтами. Уязвимость, обозначенная как CVE-2025-4322, представляет собой уязвимость повышения привилегий и была впервые обнаружена 2 мая 2025 года. Проблему изучила команда безопасности Wordfence , которая 19 мая опубликовала отчёт и рекомендовала всем пользователям немедленно обновить уязвимый компонент.
Motors — это коммерческая тема для WordPress, разработанная компанией StylemixThemes. В контексте WordPress "тема" — это шаблон оформления и набора функций, определяющий внешний вид сайта, структуру страниц, пользовательский интерфейс и часто — дополнительную логику взаимодействия. Тема Motors особенно популярна среди сайтов, связанных с автомобильной тематикой — продажей машин, автосалонами, агрегаторами объявлений. Её можно приобрести через маркетплейс EnvatoMarket, где она была продана более 22 460 раз.
Уязвимость затрагивает все версии темы до и включая 5.6.67. Исправление было выпущено 14 мая в версии 5.6.68. Однако многие владельцы сайтов не установили обновление вовремя, и уже 20 мая — через сутки после публикации деталей уязвимости — начались реальные атаки. По состоянию на 7 июня Wordfence зафиксировала 23 100 попыток эксплуатации.
Уязвимость была найдена во встроенном виджете темы "Login Register", который отвечает за регистрацию, авторизацию и восстановление пароля пользователей. Именно в функции сброса пароля и содержится ключевая ошибка.
Механизм атаки начинается с того, что злоумышленник пытается определить, по какому адресу на сайте размещён виджет — обычно это /login-register, /account, /reset-password, /signin или аналогичные пути. Он отправляет специальные POST-запросы с поддельными данными, пока не получает корректный ответ от сервера, сигнализирующий, что форма найдена.
После этого в теле запроса подставляется вредоносное значение в параметре 'hash_check', намеренно содержащем некорректные символы в кодировке UTF-8. Из-за особенностей обработки таких символов сравнение хэшей в механизме сброса пароля выдаёт ложноположительный результат — и система считает запрос допустимым.
Затем атакующий указывает новое значение пароля через параметр 'stm_new_password', выбирая ID учётной записи, которая почти всегда принадлежит администратору (в WordPress ID=1 по умолчанию — это первый созданный пользователь, как правило с максимальными правами).
Таким образом, злоумышленник сбрасывает пароль для администратора, получает полный доступ к админ-панели сайта и может создать новых пользователей с теми же правами для сохранения контроля.
Wordfence указывает, что симптомами успешной атаки являются внезапная невозможность входа под прежними административными учётными данными и появление новых пользователей с правами администратора, которых ранее не было. Это прямое свидетельство эксплуатации CVE-2025-4322.
Также в отчёте перечислены IP-адреса, с которых производились атаки, и рекомендовано добавлять их в чёрный список веб-серверов. Это может временно остановить массовые попытки взлома.
На данный момент известны конкретные пароли, которые злоумышленники использовали при сбросе админ-доступа:
- Testtest123!@#
- rzkkd$SP3znjrn
- Kurd@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG