Az Alone WordPress téma súlyos hibájával játszanak a hackerek

Az Alone WordPress téma súlyos hibájával játszanak a hackerek
A WordPress egyik népszerű prémium témájában, az Alone-ban kritikus, jelszó nélküli állományfeltöltési hibát fedeztek fel, amelyet hackerek aktívan kihasználnak, hogy távoli kódvégrehajtással teljesen átvegyék a weboldalakat. A sérülékenység minden Alone verziót érint 7.8.3-ig bezárólag, míg a hibát a 7.8.5-ös verzióban javították, amely 2025. június 16-án jelent meg.

Áthágható ellenőrzés, teljes kontroll

A probléma gyökere az alone_import_pack_install_plugin() függvényben található, amely nem tartalmaz megfelelő ellenőrzést (nonce-ellenőrzést), ráadásul anonim felhasználók számára is elérhető. A hackerek ezt kihasználva feltölthetnek ZIP-állományba rejtett webshellt, jelszóval védett PHP-hátsó kaput vagy akár teljes értékű fájlkezelőt is, így távolról irányíthatják a webhely adatbázisát és rendszerét.

Gyanús jelek, veszélyes IP-k

A fertőzésre utaló jelek lehetnek új adminisztrátor fiók megjelenése, ismeretlen ZIP- vagy bővítménymappák, illetve olyan kérések, amelyekben szerepel az admin-ajax.php?action=alone_import_pack_install_plugin. A Wordfence már több tízezer támadást blokkolt, főként a következő IP-címekről: 193.84.71.244, 87.120.92.24, 146.19.213.18, illetve 2a0b:4141:820:752::2 – ezeket mindenképpen érdemes azonnal tiltani.

Frissítés és védelem

Az Alone WordPress témát főként nonprofit szervezetek, alapítványok, jótékonysági csoportok használják világszerte. A Wordfence már május végén jelezte a hibát a Bearsthemes fejlesztőinek, de választ nem kapott, ezért június 12-én értesítették az Envato csapatát, akik négy nap alatt kiadták a javítást. Minden felhasználónak érdemes a 7.8.5-ös verzióra frissítenie a biztonság érdekében.


Egyre több támadás a WordPress ellen

Alig egy hónapja egy másik prémium téma, a Motors (Motors – Motorok) is hasonló módon lett feltörve, ott adminisztrátori fiókokat vettek át az MI által kihasznált hibával. Eközben a jelszótárolók elleni rosszindulatú támadások háromszorosára nőttek, legtöbbször lopakodó, Tökéletes rablás (Perfect Heist) típusú forgatókönyvek szerint.

2025, adrienne, www.bleepingcomputer.com alapján


Legfrissebb posztok

A telefon, ami mindent megváltoztatott: az első kétirányú kültéri hívás
MA 11:01

A telefon, ami mindent megváltoztatott: az első kétirányú kültéri hívás

1876. október 9-én Alexander Graham Bell Bostonban történelmet írt: elsőként hajtott végre kétirányú telefonhívást kültéri vezetékeken keresztül...

Az amerikai ritkaföldfém-részvények szembemennek a piaccal
MA 10:55

Az amerikai ritkaföldfém-részvények szembemennek a piaccal

💸 Donald Trump újabb szócsatája Kínával meglepő tőzsdei mozgásokat idézett elő. Az amerikai ritkaföldfémipari vállalatok részvényei jelentősen erősödtek, miután Trump azzal vádolta Kínát, hogy szigorúan korlátozza a ritkaföldfémek exportját, és újabb vámemeléseket helyezett kilátásba...

Az Nvidia chipek kizárólag Amerikáé lehetnek, Kína pedig bekeményít
MA 10:46

Az Nvidia chipek kizárólag Amerikáé lehetnek, Kína pedig bekeményít

🛠 Az amerikai Szenátus úgy döntött, hogy az országban tapasztalható chiphiány miatt a legújabb Nvidia MI-chipeket először csak a hazai vállalatok kaphatják meg...

Új eszköz teszi könnyebbé a genetikai variánsok egysejtes vizsgálatát
MA 10:37

Új eszköz teszi könnyebbé a genetikai variánsok egysejtes vizsgálatát

🔬 Évszázadok óta megfigyelték, hogy bizonyos betegségek gyakrabban fordulnak elő családokon belül – erre már az ókori Hippokratész is felfigyelt...

Az áttörés: villámgyors, fényvezérelt memóriák jönnek
MA 10:28

Az áttörés: villámgyors, fényvezérelt memóriák jönnek

⚡ A modern adattárolás alapját a ferroikus anyagok – például a vasalapú mágnesek és a ferroelektromos kristályok – használata jelenti, amelyek két stabil állapot között kapcsolhatók, így képesek bináris adatokat tárolni...

Közelebb kerülhetünk az okosotthonhoz, a Samsung újítása segít
MA 10:19

Közelebb kerülhetünk az okosotthonhoz, a Samsung újítása segít

A Samsung SmartThings legújabb fejlesztésével végre lehetővé vált, hogy eszközeik csatlakozzanak a már meglévő Thread-hálózatokhoz...

MA 10:10

Az új Toyota-akkumulátor: Megváltás vagy örök ígéret?

A Toyota nagy lendülettel fejleszti első, teljesen szilárdtest-akkumulátorát elektromos autókhoz. A Sumitomo Metal Mining vállalattal közös projekt 2021 óta zajlik, főként a katódanyagok tökéletesítésére fókuszálva...

A csupasz földikutyák génjeiben lehet az örök élet titka
MA 10:02

A csupasz földikutyák génjeiben lehet az örök élet titka

Furcsa, kopasz rágcsálók élnek a föld alatt, akik első látásra inkább fogas virslikre hasonlítanak, mint állatokra – most viszont új genetikai titokról rántották le a leplet, ami magyarázhatja szokatlanul hosszú életüket...

Az óriásbolygók vad szeleit végre megfejtették
MA 10:01

Az óriásbolygók vad szeleit végre megfejtették

🌓 A Jupiter, a Szaturnusz, az Uránusz és a Neptunusz már régóta ámulatba ejtik a tudósokat extrém, egyenlítő körüli szeleikkel...