Uma vulnerabilidade crítica descoberta no tema Motors do WordPress está expondo mais de 20 mil sites ativos ao risco de invasões. O problema permite que usuários com privilégios mínimos no sistema assumam o controle total das páginas, incluindo a ativação de plugins maliciosos e execução de código arbitrário. A falha, registrada como CVE-2025-64374, afeta versões anteriores à 5.6.82 do tema desenvolvido pela StylemixThemes.
Segundo pesquisadores de segurança, o erro ocorre devido à ausência de verificações adequadas de permissões durante o processo de upload de arquivos via chamadas AJAX no painel administrativo. Com isso, qualquer usuário autenticado, mesmo com nível de acesso básico, pode enviar arquivos não autorizados ao servidor. Na prática, essa brecha pode ser usada por invasores para executar códigos maliciosos, instalar plugins falsos ou alterar completamente o funcionamento do site.
O Motors é um tema muito popular entre sites de classificados, venda de veículos e aluguel de automóveis. Sua ampla base de usuários e a natureza do erro tornam essa vulnerabilidade especialmente perigosa, pois afeta diretamente empresas que dependem desses sites para gerar receita. A falha foi avaliada com nível de severidade crítico nas métricas de segurança (CVSS), e pode ser explorada com ferramentas simples, sem a necessidade de acesso privilegiado ao servidor.
Por isso, a recomendação dos especialistas é de atualização imediata. A StylemixThemes já disponibilizou uma correção na versão 5.6.82, que adiciona filtros de permissão para impedir o uso indevido do recurso de upload. A nova versão pode ser baixada diretamente pelo painel do WordPress ou pelo site oficial do tema.
