يقوم المتسللون باستغلال ضعف تصعيد الامتيازات في موضوع WordPress “Motors” إلى حسابات مسؤول الختامة واكتساب التحكم الكامل في موقع مستهدف.
تم رصد النشاط الضار من قبل Wordfence ، الذي حذر الشهر الماضي من شدة العيب ، التي تم تتبعها بموجب CVE-2025-4322 ، وحث المستخدمين على الترقية على الفور.
المحركات ، التي طورتها StylemixThemes ، هي موضوع WordPress شائع بين مواقع الويب المتعلقة بالسيارات. لديها 22460 مبيعات على”https://themeforest.net/item/motors-automotive-cars-vehicle-boat-dealership-classifieds-wordpress-theme/13987211″ الهدف=”_blank” rel=”nofollow noopener”> EnvatoMarket ويدعمه مجتمع نشط من المستخدمين.
تم اكتشاف ضعف تصعيد الامتياز في 2 مايو 2025 ، و”https://www.bleepingcomputer.com/news/security/premium-wordpress-motors-theme-vulnerable-to-admin-takeover-attacks/” الهدف=”_blank” rel=”nofollow noopener”> ذكرت لأول مرة بواسطة Wordfence في 19 مايو ، مما يؤثر على جميع الإصدارات قبل وتشمل 5.6.67.
ينشأ الخلل من التحقق من صحة هوية المستخدم غير لائق أثناء تحديث كلمة المرور ، مما يسمح للمهاجمين غير المصححين بتغيير كلمات مرور المسؤولين حسب الرغبة.
أصدرت StylemixThemes الإصدار 5.6.68 ، الذي يعالج CVE-2025-4322 ، في 14 مايو 2025 ، لكن العديد من المستخدمين فشلوا في تطبيق التحديث عن طريق الكشف عن Wordfence وتعرضوا لمخاطر الاستغلال المرتفعة.
كما Wordfence”https://www.wordfence.com/blog/2025/06/attackers-actively-exploiting-critical-vulnerability-in-motors-theme/” الهدف=”_blank” rel=”nofollow noopener”> يؤكد في كتابة جديدة، بدأت الهجمات في 20 مايو ، بعد يوم واحد فقط من الكشف علنًا عن التفاصيل. وقد لوحظت هجمات واسعة النطاق بحلول 7 يونيو 2025 ، حيث قامت Wordfence بإبلاغ 23100 محاولة ضد عملائها.
المصدر: Wordfence
عملية الهجوم وعلامات الخرق
الضعف في موضوع المحركات “Login Register” أداة ، بما في ذلك وظائف استرداد كلمة المرور.
يحدد المهاجم أولاً عنوان URL حيث يتم وضع هذه القطعة عن طريق التحقيق /تسجيل الدخول ، /الحساب ، /إعادة تعيين كلمة المرور ، /علامة ، وما إلى ذلك ، مع طلبات البريد المصنوعة خصيصًا حتى تحصل على ضربة.
يحتوي الطلب على أحرف UTF-8 غير صالحة في قيمة “Hash_check” الخبيثة ، مما تسبب في نجاح مقارنة التجزئة في منطق إعادة تعيين كلمة المرور بشكل غير صحيح.
يحتوي Post Body على قيمة “STM_New_Password” التي تعيد تعيين كلمة مرور المستخدم ، واستهداف معرفات المستخدم التي تتوافق عادة مع مستخدمي المسؤولين.
المصدر: Wordfence
تشمل كلمات مرور المهاجم التي لوحظت في الهجمات حتى الآن:
- TestTest123!@#
- rzkkd $ sp3znjrn
- kurd@kurd12123
- OWM9CPXHAZTK
- DB250WJuneig
بمجرد اكتساب الوصول ، يقوم المهاجمون بتسجيل الدخول إلى لوحة معلومات WordPress كمسؤولين وإنشاء حسابات مسؤول جديدة للثبات.
إن المظهر المفاجئ لمثل هذه الحسابات إلى جانب المسؤولين الحاليين الذين يتم إغلاقهم (كلمات المرور التي لم تعد تعمل) هي علامات على استغلال CVE-2025-4322.
أدرجت WordFence أيضًا العديد من عناوين IP التي تشطلل هذه الهجمات في التقرير ، والتي يوصى بها أصحاب موقع WordPress لوضعهم في قائمة الكتلة الخاصة بهم.
لماذا تتخلى فرق تكنولوجيا المعلومات عن إدارة التصحيح اليدوي
تستخدم الترقيع ليعني البرامج النصية المعقدة ، والساعات الطويلة ، وتدريبات النار التي لا نهاية لها. ليس بعد الآن.
في هذا الدليل الجديد ، تحطم Tines كيف تقوم Orgs الحديثة بتسوية الأتمتة. تصحيح أسرع ، تقليل النفقات العامة ، والتركيز على العمل الاستراتيجي – لا توجد نصوص معقدة مطلوبة.