El tema Alone – Charity Multipurpose Non-profit para WordPress, diseñado para organizaciones sin fines de lucro y desarrollado por Bearsthemes, contiene una vulnerabilidad crítica que permite a atacantes remotos tomar el control total de sitios web vulnerables. La vulnerabilidad, identificada como CVE-2025-5394, fue descubierta por el investigador de seguridad Thái An y reportada por Wordfence. La falla ha sido explotada activamente desde el 12 de julio de 2025, dos días antes de su divulgación pública, lo que evidencia vigilancia activa de actores maliciosos sobre actualizaciones de seguridad.
- CVE-2025-5394 (CVSS 9.8): Esta vulnerabilidad se origina en la función alone_import_pack_install_plugin() del tema Alone hasta su versión 7.8.3 inclusive. El problema reside en la ausencia de verificación de capacidades (capability check), lo que permite que cualquier usuario no autenticado pueda subir archivos arbitrarios mediante solicitudes AJAX, facilitando así la ejecución remota de código (RCE).
Los atacantes están utilizando archivos ZIP maliciosos como wp-classic-editor.zip y background-image-cropper.zip que contienen puertas traseras basadas en PHP. Estas herramientas permiten ejecutar comandos remotos, subir nuevos archivos maliciosos y crear usuarios administradores falsos.
Wordfence reportó más de 120 900 intentos de explotación, originados desde múltiples direcciones IP a nivel global.
PRODUCTOS AFECTADOS
Los siguientes productos y versiones están afectados por esta vulnerabilidad:
- Alone – Charity Multipurpose Non-profit (tema de WordPress): versiones anteriores o iguales a la 7.8.3
SOLUCIÓN
Bearsthemes ha lanzado la siguiente versión que contiene la corrección correspondiente:
- Tema Alone: actualizar a la versión 7.8.5 o superior (publicada el 16 de junio de 2025)
RECOMENDACIONES
Actualizar inmediatamente el tema Alone a la versión 7.8.5 o posterior
Revisar los registros del servidor en busca del patrón de solicitud /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin
Buscar usuarios administradores sospechosos creados sin autorización y eliminarlos
Escanear el sitio web con herramientas antimalware para detectar archivos maliciosos como wp-classic-editor.zip o background-image-cropper.zip y eliminarlos
Verificar la integridad de los directorios /wp-content/plugins/ y /wp-content/upgrade/
Cambiar todas las contraseñas de acceso al sistema WordPress, hosting, base de datos y FTP si se sospecha de una intrusión.
Referencias
- https://thehackernews.com/2025/07/hackers-exploit-critical-wordpress.html
- https://www.wordfence.com/blog/2025/07/critical-vulnerability-patched-in-alone-theme/
- https://www.cvedetails.com/cve/CVE-2025-5394/
- https://wordpress.org/themes/alone/