Брешь, получившая идентификатор CVE-2025-4322, представляет собой проблему повышения привилегий и была обнаружена 2 мая 2025 года. Её исследовала команда безопасности Wordfence , которая 19 мая опубликовала отчёт и настоятельно порекомендовала пользователям немедленно установить исправление.
Motors — коммерческий шаблон для WordPress, разработанный StylemixThemes. В терминологии WordPress "тема" определяет оформление сайта, структуру интерфейса, формат отображения контента, а также может включать дополнительные функции, пишет Securitylab. Motors особенно распространена среди проектов, связанных с автомобилями — от сайтов автосалонов до площадок по продаже транспортных средств. Тема доступна на маркетплейсе EnvatoMarket, где её загрузили более 22 460 раз.
Уязвимость затрагивает все релизы до версии 5.6.68 включительно. Обновление с устранением ошибки было выпущено 14 мая. Однако многие администраторы не успели его применить, и уже 20 мая — всего через день после публичного раскрытия информации — начались реальные попытки компрометации. К 7 июня Wordfence зафиксировала свыше 23 100 случаев эксплуатации.
Проблема содержится во встроенном виджете "Login Register", отвечающем за авторизацию, регистрацию и восстановление доступа. Ключевой изъян скрыт в логике сброса пароля.
Атака начинается с поиска активного пути к форме — это может быть /login-register, /account, /reset-password, /signin или аналогичный URL. Хакер отправляет серию POST-запросов с преднамеренно искажёнными данными, пока сервер не отвечает положительно, подтверждая наличие целевой страницы.
В теле успешного запроса передаётся вредоносное значение параметра 'hash_check', содержащее некорректные символы в кодировке UTF-8. Это вызывает сбой при проверке хэша: система ошибочно считает, что запрос валиден, и позволяет сбросить пароль.
Затем в параметре 'stm_new_password' подставляется новая комбинация, а в поле ID указывается номер учётной записи — как правило, это ID=1, относящийся к первому созданному пользователю, обладающему полными правами.
В результате атакующий меняет пароль администратора, получает доступ к консоли управления сайтом и может завести дополнительные аккаунты с тем же уровнем доступа для сохранения контроля.
Wordfence отмечает, что тревожными признаками взлома являются неожиданная блокировка текущих учётных данных администратора и появление новых записей с расширенными правами. Это однозначно указывает на активную эксплуатацию CVE-2025-4322.
В отчёте также перечислены IP-адреса, откуда производились атаки. Владельцам сайтов предлагается временно блокировать эти источники на уровне веб-сервера, чтобы снизить риск автоматизированных вторжений.
Исследователи выявили конкретные сочетания, использовавшиеся злоумышленниками при подмене доступа:
Если один из этих шифров встречается в логах или административной панели — это веский повод для срочной проверки.