22.000 siti WordPress basati sul tema Motors risultano esposti a una pericolosa vulnerabilità di escalation dei privilegi che consente a un attaccante non autenticato di modificare la password di qualsiasi utente, incluso l’amministratore, e quindi prendere il pieno controllo del sito.
Scoperta il 2 maggio 2025 e resa pubblica il 19 maggio, questa falla – identificata con il codice CVE-2025-4322 – è attivamente sfruttata da più gruppi malevoli. La sua gravità, valutata 9.8 su 10 nella scala CVSS, la colloca tra le vulnerabilità più critiche dell’anno.
Cos’è la vulnerabilità e come funziona
Il problema risiede nella mancanza di un controllo adeguato sull’identità dell’utente durante il processo di aggiornamento della password all’interno del tema. Per sfruttare la falla, l’attaccante deve solo individuare la pagina che ospita il widget “Login Register” o funzionalità simili di recupero password.
Attraverso l’invio di una richiesta POST con un parametro hash_check manipolato, composto da caratteri UTF-8 non validi (es. %80, %C0, %25C0), il confronto dell’hash va in errore e la modifica della password va comunque a buon fine. Questo consente l’accesso totale all’account bersaglio, senza che l’utente legittimo venga notificato.
Lo sfruttamento è già in corso
Secondo i dati raccolti da Wordfence, gli attacchi sono iniziati già il 20 maggio, un giorno dopo la disclosure, e hanno subito un’accelerazione a partire dal 7 giugno 2025. I firewall di Wordfence hanno bloccato oltre 23.100 tentativi di attacco, molti dei quali provenienti da IP noti per attività malevole, tra cui:
198.2.233.90(oltre 4700 richieste)192.210.243.217(oltre 3600 richieste)123.253.111.178(oltre 3200 richieste)
In alcuni casi, gli attaccanti hanno sfruttato URL come /reset-password, /account, /signin, simulando richieste legittime ma indirizzate a modificare la password amministrativa.
Chi è protetto e chi no
Gli utenti dei servizi Wordfence Premium, Care e Response hanno ricevuto una regola di protezione già il 6 maggio 2025. Gli utenti della versione gratuita hanno ricevuto la protezione solo il 5 giugno, rispettando il ritardo standard di 30 giorni.
Tuttavia, il solo firewall non basta: per eliminare completamente la vulnerabilità, è necessario aggiornare immediatamente alla versione 5.6.68 del tema Motors. Tutte le versioni fino alla 5.6.67 risultano vulnerabili.
Come capire se si è stati compromessi
Un primo segnale di compromissione può essere l’impossibilità di accedere con la password corretta. In questi casi, è consigliabile verificare:
- la presenza di nuovi amministratori creati senza autorizzazione
- l’access log del sito, cercando parametri come
?user_id=1&hash_check=%80o%C0 - richieste provenienti da IP sospetti come quelli elencati da Wordfence
Cosa fare adesso
- Aggiornare subito il tema Motors alla versione 5.6.68
- Controllare gli accessi recenti e le impostazioni degli utenti
- Monitorare la presenza di richieste sospette nei log
- Contattare un servizio di risposta a incidenti se si sospetta una compromissione
Conclusione
Questa vulnerabilità rappresenta un rischio concreto e attuale per migliaia di siti WordPress. Anche se la patch è disponibile, molti siti risultano ancora esposti, e la facilità con cui può essere sfruttata la rende particolarmente pericolosa. Wordfence ha bloccato già decine di migliaia di tentativi, ma la miglior difesa resta l’aggiornamento tempestivo e una costante attività di monitoraggio.
