WordPress Motors 主题漏洞被大规模用于劫持管理员账号

黑客正在利用位于 WordPress 主题 “Motors” 中的一个严重提权漏洞CVE-2025-4322，劫持管理员账号并完全控制目标网站。

这起恶意活动由 Wordfence 公司发现，后者在上个月提醒用户注意该漏洞的严重性，督促用户立即升级。Motors 由 StylemixThemes 公司开发，在汽车相关网站中是非常热门的 WordPress 主题。它在 EnvatoMarket 上的销售量已达到22460件，受到活跃社区用户的支持。

该提权漏洞在2025年5月2日被发现，由 Wordfence 公司在5月19日报送，影响 5.6.67及之前版本。该漏洞是因为在密码更新过程中的用户身份验证不当造成的，可导致未认证攻击者随意更改管理员密码。虽然StylemixThemes 在2025年5月14日发布Motors 5.6.68版本修复了该漏洞，但很多用户在 Wordfence 披露漏洞时未能应用该更新，因此易受提权利用风险。

正如 Wordfence 公司在一份新的 writeup 中提到的那样，攻击始于5月20日，即他们公开披露详情的一天后。研究人员在2025年6月7日观测到大规模攻击，Wordfence 声称拦截了2.31万次攻击尝试。

该漏洞位于 Motors 主题的“登录注册”小部件中，而该小部件也包括密码恢复功能。

攻击者首先通过特殊构造的 POST 请求刺探 /login-register、/account、/reset-password、/signin等定位到放置该小部件的 URL，直到获得点击为止。该请求在恶意值 “hash_check” 中包含无效的UTF-8字符，导致密码重置逻辑中的哈希比对错误地成功。该POST 主体中包含一个 “stm_new_password” 值用于重置用户密码，针对通常与管理员用户相对应的用户ID。

截止目前从这些攻击中观察到的由攻击者设置的密码包括：

攻击者一旦获得访问权限，就会作为管理员登录到 WordPress 仪表盘并创建新的管理员账号实现持久性。此类账号的突然出现，加上现有的管理员被锁（密码无法起作用）是该漏洞遭利用的迹象。Wordfence 公司还列出了发动这些攻击的多个IP地址，并建议WordPress 网站所有人将这些地址列入拦截名单。