脅威アクターが、WordPressテーマ「Alone」に存在する認証不要の任意ファイルアップロードの重大な脆弱性を積極的に悪用し、リモートコード実行(RCE)を達成してサイト全体の乗っ取りを行っています。
Wordfenceはこの悪意ある活動を報告しており、自社の顧客を対象とした12万回以上の悪用試行をブロックしたと述べています。
また、WordPressのセキュリティ企業であるWordfenceは、攻撃が脆弱性の公開前から数日前に始まっていたことも報告しており、脅威アクターがチェンジログやパッチを監視し、ウェブサイト管理者への警告が届く前に簡単に悪用できる問題を発見していることを示しています。
この脆弱性はCVE-2025-5394として追跡されており、Aloneのバージョン7.8.3までのすべてのバージョンに影響します。ベンダーのBearsthemesは、2025年6月16日にリリースしたAloneバージョン7.8.5でこの問題を修正しました。
問題は、テーマの「alone_import_pack_install_plugin()」関数に由来しており、この関数にはnonceチェックがなく、wp_ajax_nopriv_フックを通じて公開されています。
この関数はAJAX経由でプラグインのインストールを可能にし、POSTデータ内のリモートソースURLを受け入れるため、認証されていないユーザーでもリモートURLからのプラグインインストールを引き起こすことができます。
Wordfenceによると、攻撃者はこの脆弱性を利用してZIPアーカイブ内にウェブシェルをアップロードしたり、HTTPリクエストを通じて持続的なリモートコマンド実行を可能にするパスワード保護付きのPHPバックドアを設置したり、隠し管理者ユーザーを作成したりしています。
場合によっては、攻撃者がサイトのデータベースを完全に制御できる高機能なファイルマネージャーをインストールすることもあります。
上記のことから、侵害の兆候としては新しい管理者ユーザーの出現、不審なZIP/プラグインフォルダ、「admin-ajax.php?action=alone_import_pack_install_plugin」へのリクエストなどが挙げられます。
Wordfenceは、IPアドレス193.84.71.244、87.120.92.24、146.19.213.18、および2a0b:4141:820:752::2からの数万件の悪用試行を記録しており、これらのIPは直ちにブロックする必要があります。
出典:Wordfence
AloneはEnvatoマーケットで約10,000件の販売実績があるプレミアムテーマで、主に慈善団体、NGO、募金団体、社会組織などの非営利団体によって利用されています。
Wordfenceは2025年5月30日にはBearsthemesに報告を提出していましたが、返答がなかったため、6月12日にEnvatoチームに問題をエスカレーションしました。
その4日後、ベンダーは修正版のAlone v7.8.5をリリースしており、すべてのユーザーにこのバージョンへのアップデートが推奨されています。
先月、別のプレミアムWordPressテーマ「Motors」も、ハッカーによる攻撃の標的となり、ユーザー認証の脆弱性を悪用されて脆弱なウェブサイトの管理者アカウントが乗っ取られました。
クラウド検知&レスポンス入門
ビジネスに影響を与える前に、リアルタイムで新たな脅威を封じ込めましょう。
この実践的かつ分かりやすいガイドで、クラウド検知&レスポンス(CDR)がセキュリティチームにどのような優位性をもたらすか学びましょう。