High Risk (CVSS 9.8): Motors Theme Flaw Exposes 22,000+ WordPress Sites to Full Takeover
2025/05/20 SecurityOnline — ThemeForest で 22,000件以上の販売実績を持つ、人気のプレミアム WordPress テーマ Motors に、重大な脆弱性が発見された。この脆弱性 CVE-2025-4322 (CVSS:9.8) は、権限昇格の脆弱性に分類されている。Wordfence は、「この脆弱性の悪用に成功した未認証の攻撃者は、管理者などの任意のユーザーのパスワードを、リセットする可能性を手にする。その結果として、アカウントや Web サイトの乗っ取りに至る恐れがある」と警告している。
この脆弱性は、Motors テーマに含まれる Login Register ウィジェットの不適切な実装に起因する。具体的に言うと、”password-recovery.php” テンプレート・ファイルが、パスワード・リセットのハッシュを適切に検証せず、以下のコードに依存しているという問題が確認された:
$user_hash = get_the_author_meta('stm_lost_password_hash',$user_id_get);
if($user_hash !== $user_hash_check) {
$error = true;
ユーザーのメタデータ内のハッシュが empty である場合 (パスワード・リセットが開始されていない) に、hash_check パラメータに無効な UTF-8 文字を渡す攻撃者は、このチェックを回避できる。この無効な文字は、esc_attr() によるサニタイズ処理で除去され、結果的に偽のリクエストが正当なものとして処理されてしまう。
Wordfence は、「この手法により、hash_check パラメーターに無効な utf8 値を取り込む攻撃者は、不正なリクエスト送信を可能にする。その値が削除された結果として、ハッシュ比較が成功してしまい、パスワードの変更が可能になる」と説明している。
こうして、管理者権限を取得した攻撃者は、対象の WordPress サイトを完全に制御できるようになる。そして、以下のような悪意のアクションが可能となる:
- 悪意のプラグイン/テーマのアップロード
- バックドアを埋め込み
- フィッシング・サイトやマルウェア・サイトへのユーザー・リダイレクト
- コンテンツの改竄やスパムの埋め込み
Wordfence は、「この脆弱性が悪用されると、サイト全体が完全に侵害される可能性がある」と警告している。
この脆弱性は、Wordfence バグ報奨金プログラムを介して研究者 Foxyyy により報告され、その対価として $ 1,073 の報奨金が支払われた。この報奨金には、詳細な報告に対する 10% のボーナスが加算されている。
Motors テーマのユーザーに推奨されるのは、バージョン 5.6.68 へと、速やか直ちにアップデートすることだ。
ユーザー・メタデータ内のハッシュ操作により、管理者権限が窃取され、サイトの乗っ取りに至るという怖い脆弱性です。ご利用のチームは、ご注意ください。よろしければ、WordPress + Theme で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.