Una grave vulnerabilità è stata recentemente individuata nel tema Alone per WordPress, utilizzato da numerosi siti di organizzazioni non profit. Questa falla di sicurezza, identificata come CVE-2025-5394 e valutata con un punteggio CVSS di 9.8, permette a malintenzionati di assumere il controllo completo di siti WordPress vulnerabili attraverso l’installazione remota di plugin. Il problema riguarda tutte le versioni del tema fino alla 7.8.3 e si basa su una funzione chiamata alone_import_pack_install_plugin, che non verifica correttamente i permessi degli utenti. Di conseguenza, anche utenti non autenticati possono caricare file arbitrari tramite chiamate AJAX, aprendo la porta all’esecuzione di codice malevolo da remoto.

Impatto e modalità di attacco

Il team di sicurezza di Wordfence ha sottolineato come questa vulnerabilità consenta agli attaccanti di caricare ed eseguire file dannosi, spesso sfruttati per installare backdoor PHP, file manager e plugin malevoli in grado di creare account amministrativi non autorizzati. Gli attacchi osservati hanno utilizzato archivi ZIP denominati “wp-classic-editor.zip” o “background-image-cropper.zip”, che contengono backdoor sofisticate per facilitare il controllo remoto del sito e l’ulteriore compromissione.

Tempistiche e diffusione degli attacchi

Le campagne di attacco sono partite almeno due giorni prima che la vulnerabilità fosse pubblicamente divulgata il 14 luglio 2025, suggerendo che i criminali informatici monitorino attentamente le modifiche al codice per identificare e sfruttare tempestivamente nuove falle. Wordfence ha già bloccato oltre 120.900 tentativi di sfruttamento provenienti da indirizzi IP sparsi globalmente, segno di una rapida e massiccia diffusione dell’attacco.

Raccomandazioni e misure di sicurezza

Per proteggere il proprio sito WordPress, è fondamentale aggiornare il tema Alone alla versione 7.8.5 o successive, dove il problema è stato risolto. Si consiglia inoltre ai gestori di siti di verificare la presenza di utenti amministratori sospetti e di controllare i log per richieste sospette all’endpoint “/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin”. Un’azione tempestiva è cruciale per mitigare i rischi di compromissione e per evitare il totale controllo del sito da parte di attori malevoli. Questa ennesima ondata di attacchi sottolinea l’importanza della manutenzione costante e della rapidità nel patching delle vulnerabilità nel mondo WordPress.