ハッカーは、WordPressテーマ「Motors」における重大な権限昇格の脆弱性を悪用し、管理者アカウントを乗っ取り、ターゲットサイトを完全に制御しています。
この悪意のある活動はWordfenceによって発見され、先月、この欠陥の深刻さについて警告し、CVE-2025-4322として追跡されているこの脆弱性に対し、ユーザーに直ちにアップグレードするよう促していました。
MotorsはStylemixThemesによって開発されたWordPressテーマで、自動車関連のウェブサイトで人気があります。EnvatoMarketで22,460件の販売実績があり、活発なユーザーコミュニティに支えられています。
権限昇格の脆弱性は2025年5月2日に発見され、5月19日にWordfenceによって初めて報告され、バージョン5.6.67以前のすべてのバージョンに影響を与えています。
この欠陥は、パスワード更新時のユーザーIDの不適切な検証に起因し、認証されていない攻撃者が管理者のパスワードを自由に変更できるようにします。
StylemixThemesは2025年5月14日にCVE-2025-4322に対処したMotorsバージョン5.6.68をリリースしましたが、多くのユーザーがWordfenceの開示までにアップデートを適用せず、リスクが高まる結果となりました。
Wordfenceが新しいレポートで確認したように、攻撃は詳細が公表された翌日の5月20日に始まりました。2025年6月7日までに大規模な攻撃が観測され、Wordfenceは顧客に対して23,100回の攻撃をブロックしたと報告しています。
出典: Wordfence
攻撃のプロセスと侵害の兆候
この脆弱性はMotorsテーマの「ログイン登録」ウィジェットにあり、パスワード回復機能を含んでいます。
攻撃者はまず、このウィジェットが配置されているURLを特定するために、/login-register、/account、/reset-password、/signinなどを特別に作成されたPOSTリクエストで試行し、ヒットするまで探ります。
リクエストには、悪意のある ‘hash_check’ 値に無効なUTF-8文字が含まれており、パスワードリセットロジックでのハッシュ比較が誤って成功する原因となります。
POSTボディには ‘stm_new_password’ 値が含まれており、通常は管理者ユーザーに対応するユーザーIDをターゲットにしてユーザーパスワードをリセットします。
出典: Wordfence
これまでの攻撃で観測された攻撃者設定のパスワードには以下が含まれます:
- Testtest123!@#
- rzkkd$SP3znjrn
- Kurd@Kurd12123
- owm9cpXHAZTk
- db250WJUNEiG
アクセスが得られると、攻撃者はWordPressダッシュボードに管理者としてログインし、持続性を保つために新しい管理者アカウントを作成します。
このようなアカウントの突然の出現と既存の管理者がロックアウトされる(パスワードが機能しなくなる)ことがCVE-2025-4322の悪用の兆候です。
Wordfenceはまた、これらの攻撃を開始するいくつかのIPアドレスを報告書にリストしており、WordPressサイトの所有者はこれらをブロックリストに追加することを推奨しています。
ITチームが手動パッチ管理をやめる理由
パッチ適用は複雑なスクリプト、長時間の作業、終わりのない緊急対応を意味していました。もうそんなことはありません。
この新しいガイドでは、Tinesが現代のIT組織がどのように自動化でレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中できます — 複雑なスクリプトは不要です。