Новости компьютерной безопасности:

  Latest News

WordPress Plugin Vulnerability Exposes 22,000 Sites to Cyber Attacks

С сайта: Vulnerability(cybersecuritynews.com)

WordPress Plugin Vulnerability Exposes 22,000 Sites to Cyber Attacks

Author: Guru Baran

A critical security vulnerability discovered in the popular Motors WordPress theme has exposed approximately 22,000 websites to significant risk. 

Security researchers have identified a privilege escalation vulnerability that allows unauthenticated attackers to take over administrative accounts, potentially compromising the entire website.

This vulnerability (CVE-2025-4322) carries a critical CVSS score of 9.8 and affects all versions of the Motors theme up to and including 5.6.67.

Critical Password Reset Vulnerability – CVE-2025-4322
The security flaw stems from insufficient validation in the password recovery functionality of the Motors theme. 

According to the Wordfence security report, the vulnerability exists in the password-recovery.php template file, which handles password updates without proper authentication checks:

cyber security news
The critical issue is that the function doesn’t include checks to prevent password updates when the hash is empty. 

While there is a check to ensure the hash_check parameter is not empty, attackers can bypass this by supplying an invalid UTF-8 character that gets stripped through the esc_attr() function. 

This occurs after the !empty($_GET[‘hash_check’]) check but before the comparison, allowing attackers to reset passwords without authorization.

Security researcher Friderika Baranyai (known as “Foxyyy”) discovered and responsibly reported this vulnerability through the Wordfence Bug Bounty Program, earning a bounty of over $1,000 for the finding. 

An unauthenticated attacker can exploit this vulnerability to change the password of any user on the affected site, including administrators. Once administrative access is gained, attackers can:

  • Upload malicious plugins or themes containing backdoors.
  • Modify website content to redirect visitors to malicious websites.
  • Inject spam content or malware.
  • Access sensitive user data stored within the WordPress installation.

This vulnerability follows a concerning trend in WordPress security, as Wordfence’s 2024 Annual WordPress Security Report highlighted a 68% increase in disclosed vulnerabilities compared to 2023.

Risk Factors Details Affected ProductsMotors WordPress Theme (versions ≤5.6.67)ImpactUnauthenticated attackers can reset passwords for any user, leading to full site compromise via privilege escalation.Exploit Prerequisites1. Network access to a vulnerable WordPress site 2. Motors theme is active on the target site.CVSS 3.1 Score9.8 (Critical)
Mitigation 
Site owners using the Motors theme should update immediately to version 5.6.68 or later, which contains a patch released by StylemixThemes on May 14, 2025. 

For those unable to update immediately, several protection options exist:

  • Wordfence Premium, Care, and Response users received a firewall rule protecting against this vulnerability on May 6, 2025.
  • Users of the free version of Wordfence will receive the same protection on June 5, 2025.
  • Website administrators should consider temporarily disabling the affected theme until updates can be applied.

The incident underscores the importance of maintaining updated themes and plugins within WordPress installations, as well as implementing multiple layers of security protection through services like Wordfence that can detect and block exploitation attempts even before official patches become available.



#Cyber_Attack_Article #Cyber_Security #Cyber_Security_News #Vulnerability #Wordpress #cyber_security #cyber_security_news #vulnerability

Оригинальная версия на сайте: WordPress Plugin Vulnerability Exposes 22,000 Sites to Cyber Attacks
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.