【安全资讯】黑客积极利用WordPress Alone主题中的关键RCE漏洞

概要：

近日，黑客正积极利用WordPress主题'Alone'中的一个关键未经验证的任意文件上传漏洞，以实现远程代码执行并完全接管网站。Wordfence报告称已阻止了超过12万次针对其客户的利用尝试。该漏洞（CVE-2025-5394）影响Alone 7.8.3及之前的所有版本，攻击者利用此漏洞上传webshell、部署PHP后门或创建隐藏管理员用户，对网站安全构成严重威胁。

主要内容：

该漏洞源于Alone主题的'alone_import_pack_install_plugin()'函数，该函数缺少nonce检查，并通过wp_ajax_nopriv_钩子暴露。攻击者可以通过AJAX触发插件安装，并接受POST数据中的远程源URL，从而允许未经身份验证的用户从远程URL安装插件。

Wordfence发现，攻击者利用此漏洞上传包含webshell的ZIP存档，部署密码保护的PHP后门，或创建隐藏的管理员用户。在某些情况下，攻击者甚至安装功能齐全的文件管理器，从而完全控制网站的数据库。

Alone是一款在Envato市场上销售近1万份的高级主题，主要被慈善机构、非政府组织等非营利组织使用。尽管Wordfence早在2025年5月30日就向Bearsthemes提交了报告，但未获回应，最终在6月12日将问题升级至Envato团队。四天后，供应商发布了修复版本Alone v7.8.5，建议所有用户立即更新。