Обнаруженная проблема уже получила идентификатор CVE-2025-4322 и оценку CVSS: 9.8.
Motors — одна из самых популярных автомобильных тем на платформе WordPress. Её разработала компания StylemixThemes, а активнее всего она используется автосалонами, сервисами проката и площадками по продаже подержанных автомобилей. Тема была продана более 22 300 раз и собрала сотни отзывов, что говорит о широкой популярности и постоянном использовании, пишет Securitylab.
Уязвимость затрагивает все версии Motors до включительно 5.6.67 и связана с тем, что механизм обновления пароля не проверяет подлинность пользователя. Это позволяет неавторизованному злоумышленнику изменить пароль любого аккаунта, включая администратора, и тем самым получить к нему доступ. Сразу после получения прав администратора атакующий может внедрить вредоносный код, скачать базу данных с персональными данными пользователей или настроить автоматические переадресации на вредоносные сайты.
Обновление, устраняющее уязвимость, уже доступно — 14 мая 2025 года вышла версия Motors 5.6.68. Разработчик опубликовал подробную инструкцию по обновлению темы: это можно сделать через админку WordPress, API Envato или вручную по FTP. Отмечается, что из-за того, что тема является центральной частью сайта, её невозможно временно отключить, как, например, обычный плагин, поэтому обновление нужно установить как можно быстрее. Также перед обновлением рекомендуется создать резервную копию сайта, чтобы избежать потери данных.
Хотя проблема не затрагивает массово используемые плагины, присутствие Motors на коммерческих сайтах делает её особенно опасной. Стандартная лицензия темы стоит $79, а расширенная — $2 000, что говорит о её применении преимущественно в рабочих проектах с активной пользовательской базой.