Les pirates exploitent une vulnérabilité critique d’escalade de privilèges dans le thème WordPress « Motors » pour détourner les comptes administrateurs et prendre le contrôle total d’un site ciblé.

L’activité malveillante a été repérée par Wordfence, qui avait averti le mois dernier de la gravité de la faille, suivie sous CVE-2025-4322, exhortant les utilisateurs à mettre à niveau immédiatement.

Motors, développé par StylemixThemes, est un thème WordPress populaire parmi les sites Web liés à l’automobile. Il a 22 460 ventes sur EnvatoMarket et est soutenu par une communauté active d’utilisateurs.

La vulnérabilité d’élévation de privilèges a été découverte le 2 mai 2025 et signalée pour la première fois par Wordfence le 19 mai, affectant toutes les versions antérieures à la version 5.6.67 incluse.

La faille provient d’une validation incorrecte de l’identité de l’utilisateur lors de la mise à jour du mot de passe, permettant aux attaquants non authentifiés de changer les mots de passe administrateur à volonté.

StylemixThemes a publié la version 5.6.68 de Motors, qui traite de CVE-2025-4322, le 14 mai 2025, mais de nombreux utilisateurs n’ont pas appliqué la mise à jour par la divulgation de Wordfence et se sont exposés à un risque d’exploitation élevé.

Comme Wordfence le confirme dans un nouvel article, les attaques ont commencé le 20 mai, un jour seulement après avoir divulgué publiquement les détails. Des attaques à grande échelle ont été observées au 7 juin 2025, Wordfence signalant avoir bloqué 23 100 tentatives contre ses clients.

Volumes d’attaques quotidiens

Processus d’attaque et signes de violation
La vulnérabilité se trouve dans le widget « Login Register » du thème Motors, y compris la fonctionnalité de récupération de mot de passe.

L’attaquant localise d’abord l’URL où ce widget est placé en sondant /login-register, /account, /reset-password, /sign in, etc., avec des demandes de PUBLICATION spécialement conçues jusqu’à ce qu’elles obtiennent un succès.

La requête contient des caractères UTF-8 invalides dans une valeur malveillante ‘hash_check’, ce qui entraîne un échec de la comparaison de hachage dans la logique de réinitialisation du mot de passe.

Le corps de la PUBLICATION contient une valeur ‘stm_new_password’ qui réinitialise le mot de passe de l’utilisateur, ciblant les ID utilisateur qui correspondent généralement aux utilisateurs administrateurs.

Exemples de requêtes des attaques

Les mots de passe définis par l’attaquant observés dans les attaques jusqu’à présent incluent:

  • Testtest123!@#
  • rzkkd$SP3znjrn
  • Kurd@Kurd12123
  • owm9cpXHAZTk
  • db250WJUNEiG

Une fois l’accès obtenu, les attaquants se connectent au tableau de bord WordPress en tant qu’administrateurs et créent de nouveaux comptes d’administrateur pour la persistance.

L’apparition soudaine de tels comptes combinée au verrouillage des administrateurs existants (les mots de passe ne fonctionnent plus) sont des signes d’exploitation CVE-2025-4322.

Wordfence a également répertorié plusieurs adresses IP qui lancent ces attaques dans le rapport, qu’il est recommandé aux propriétaires de sites WordPress de mettre sur leur liste de blocage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *