Критическая уязвимость в теме WordPress Alone: более 120 тысяч атак до публичного раскрытия

Тема Alone, распространявшаяся через платформы цифровых товаров, была установлена более чем на 9 000 сайтов, что создает значительные риски для владельцев ресурсов. Суть уязвимости заключается в отсутствии проверок прав доступа в функции alone_import_pack_install_plugin(), что дает возможность неавторизованным лицам загружать произвольные файлы через механизм установки плагинов.

Хронология событий демонстрирует тревожную динамику развития угрозы. Первоначальный отчет об уязвимости поступил в команду Wordfence 30 мая 2025 года, после чего разработчики темы выпустили патчированную версию 7.8.5 только 16 июня. Однако данные мониторинга сетевой активности показывают, что эксплуатация уязвимости началась еще до официального публичного раскрытия информации - 12 июля 2025 года, тогда как сам факт уязвимости стал общедоступен лишь 14 июля. Этот двухдневный разрыв между началом атак и публикацией деталей эксплойта указывает на высокую организованность киберпреступных групп, оперативно реагирующих на появление исправлений в программном обеспечении. Механизм атаки основан на отправке специально сформированных POST-запросов к файлу admin-ajax.php, где злоумышленники указывают удаленные источники для загрузки вредоносных ZIP-архивов, маскирующихся под плагины.

Технический анализ кода уязвимой версии темы (7.8.3 и ниже) выявил фундаментальные недостатки в реализации функции импорта плагинов. Критическая ошибка заключается в регистрации AJAX-действия через хук wp_ajax_nopriv_alone_import_pack_install_plugin, который специально предназначен для обработки запросов от неаутентифицированных пользователей. При этом в коде полностью отсутствуют проверки capability (прав доступа) и nonce (уникальных криптографических токенов), что в сочетании с возможностью указания произвольного внешнего источника загрузки создает идеальные условия для реализации атаки. Эксперты отмечают, что подобная архитектурная ошибка позволяет злоумышленникам не только загружать файлы, но и активировать их, получая возможности удаленного выполнения кода через веб-оболочки. Статистика срабатываний межсетевого экрана Wordfence впечатляет масштабами угрозы: более 120 900 попыток эксплуатации было заблокировано с момента выхода патча, причем львиная доля атак пришлась на период до публичного оповещения.

Анализ сетевой активности выявил наиболее агрессивные IP-адреса, участвующие в кампании. Лидером по количеству инициированных атак стал адрес 193.84.71.244, с которого поступило свыше 39 900 блокируемых запросов. Вторую позицию занял 87.120.92.24 с показателем более 37 100 запросов, за ним следует 146.19.213.18 (свыше 17 000 попыток). Четвертое место принадлежит IPv6-адресу 2a0b:4141:820:752::2, зафиксировавшему более 15 400 атакующих действий. Далее в списке наиболее активных фигурируют 185.159.158.108 (свыше 1000 запросов), 188.215.235.94 (также более 1000 запросов), 146.70.10.25 (более 900 попыток) и 74.118.126.111 (аналогично свыше 900 запросов). Географическое распределение этих адресов охватывает различные регионы, что свидетельствует о глобальном характере угрозы. Типичный образец атакующего запроса содержит указание на внешний ресурс с вредоносным ZIP-архивом, например, параметр data[plugin_source]=http://cta.imasync.com/zeta.zip, который при успешной эксплуатации приводит к мгновенной компрометации сайта.

Особое внимание специалистов привлек факт раннего начала эксплуатации - за двое суток до публикации деталей уязвимости. Эта тенденция соответствует современным тактикам Advanced Persistent Threat-групп, которые активно мониторят репозитории кода и системы управления версиями, выискивая коммиты с исправлениями безопасности. Таким образом, даже 30-дневная задержка в предоставлении защиты пользователям бесплатной версии Wordfence (правило для платных подписчиков выпущено 30 мая, для бесплатных - 29 июня) создала значительную уязвимую прослойку сайтов. Согласно данным телеметрии, пик атак пришелся именно на июльский период, когда тысячи непропатченных ресурсов оставались открытыми для компрометации. Эксперты подчеркивают, что подобные уязвимости Arbitrary File Upload традиционно относятся к категории максимальной опасности, поскольку позволяют не просто похитить данные, а установить полный контроль над сервером через исполнение произвольного кода. В контексте темы Alone, часто используемой благотворительными организациями, риски включают не только технические последствия, но и репутационные потери, а также потенциальные финансовые махинации.

Масштаб блокировок со стороны Wordfence Firewall превысил отметку в 120 тысяч инцидентов, что отражает высокую активность злоумышленников. Механизм защиты построен на анализе AJAX-действий: система идентифицирует попытки вызова уязвимой функции alone_import_pack_install_plugin и блокирует запросы, если они исходят не от авторизованных администраторов. Примечательно, что исследователь Тхай Ань, обнаруживший уязвимость, получил вознаграждение в размере 501 доллара через программу bug bounty, что подчеркивает важность ответственного раскрытия информации. Однако раннее начало эксплуатации до официального обнародования деталей демонстрирует ограниченность таких программ в условиях современных реалий, когда киберпреступники используют автоматизированные средства сканирования для выявления патчей и обратного инжиниринга уязвимостей. Текущая ситуация с темой Alone служит наглядным примером того, как ошибки в реализации функций плагинов тем WordPress могут привести к катастрофическим последствиям при отсутствии базовых проверок авторизации. Продолжающаяся активность атакующих подтверждает, что уязвимость остается в фокусе внимания преступных группировок, эксплуатирующих малейшую задержку в обновлении систем.

IPv4

• 146.19.213.18
• 146.70.10.25
• 185.159.158.108
• 188.215.235.94
• 193.84.71.244
• 198.145.157.102
• 62.133.47.18
• 74.118.126.111
• 87.120.92.24

IPv6

• 2a0b:4141:820:752::2

Domains

• cta.imasync.com
• dari-slideshow.ru
• drschischka.at
• ls.fatec.info
• mc-cilinder.nl
• onerange.co
• wordpress.zzna.ru