Uma vulnerabilidade crítica está sendo explorada ativamente por cibercriminosos no tema Alone, amplamente utilizado em sites WordPress, especialmente por organizações sem fins lucrativos. A falha, rastreada como CVE-2025-5394, permite que invasores obtenham controle total dos sites afetados. A falha está presente até a versão 7.8.3 do tema e está relacionada ao plugin “Alone Theme Import Demo Data”, utilizado para importar conteúdos de demonstração.
O plugin sofre de uma falta de validação adequada, o que permite que qualquer usuário, mesmo não autenticado, envie arquivos ZIP contendo plugins maliciosos e os instale no servidor. Uma vez explorado, o atacante pode ativar esses plugins e executar código remotamente, incluindo a criação de contas administrativas ocultas, instalação de backdoors e desfiguração do site.
A exploração é simples e já foi incorporada a ferramentas automatizadas, o que amplia o alcance do ataque. Pesquisadores alertam que mais de 120 mil tentativas de exploração foram detectadas desde a descoberta da falha, indicando uma campanha de exploração em larga escala. A falha afeta todos os sites que ainda utilizam o tema Alone sem a atualização para a versão corrigida. A recomendação imediata para administradores de sites é atualizar o tema para a versão mais recente, remover o plugin vulnerável e verificar a presença de usuários desconhecidos ou arquivos suspeitos no servidor.
