Il tema Motors per WordPress, utilizzato da oltre 22.000 siti, presenta una vulnerabilità di privilege escalation (CVE-2025-4322, CVSS 9.8) che consente a un attaccante non autenticato di modificare la password di qualsiasi utente, inclusi gli amministratori, portando al completo controllo del sito. La falla interessa tutte le versioni fino alla 5.6.67 inclusa; il problema risiede nella mancata validazione dell’identità dell’utente prima dell’aggiornamento della password tramite la funzione di recupero, aggirabile con caratteri utf8 non validi nella variabile hash_check.
L’exploit permette agli attaccanti di sfruttare pagine come /reset-password, /account, /signin o la pagina login-register, inviando richieste POST con hash_check manipolato. L’attività malevola è stata segnalata a partire dal 20 maggio 2025, con picchi di exploit di massa dal 7 giugno e oltre 23.100 tentativi bloccati dal firewall Wordfence. Alcuni IP coinvolti hanno generato migliaia di richieste, puntando su siti non aggiornati e privi di protezione.
Gli indicatori di compromissione includono l’impossibilità per gli amministratori di accedere con la propria password e la presenza di nuovi utenti amministratori sospetti. Gli amministratori devono controllare i log per richieste sospette e aggiornare immediatamente alla versione 5.6.68 o superiore, unica patch disponibile contro questa falla. Il ritardo nell’aggiornamento espone a rischio concreto di compromissione totale del sito.
