Se ha identificado una vulnerabilidad crítica en el tema “Motors” para WordPress, que afecta a las versiones 5.6.67 y anteriores. Este defecto permite a un atacante, sin necesidad de acceder ni poseer ningún tipo de autorización, cambiar la contraseña de cualquier usuario en un sitio web afectado, incluidos los administradores. La explotación exitosa de esta vulnerabilidad podría otorgar al atacante el control total sobre el sitio, permitiéndole modificar su contenido, robar información sensible o instalar software malicioso.
| Producto | motors |
| Fecha | 2025-05-29 17:15:24 |
| Información |
|
Resumen técnico
El tema de WordPress Motors, hasta la versión 5.6.67 incluida, es vulnerable a una escalada de privilegios sin autenticación (CVE-2025-4322), clasificada como CWE-620 (Modificación de contraseña no verificada). La vulnerabilidad reside en el mecanismo de actualización de contraseña desde el front-end, accesible a través de puntos finales (endpoints) como /loginregister/, /login/ o /register/.
Un atacante no autenticado puede crear una solicitud HTTP POST específica dirigida a uno de estos puntos finales. La solicitud debe incluir el user_id de la cuenta objetivo, un nuevo valor de contraseña para el parámetro stm_new_password y un parámetro hash_check. El código del tema no valida correctamente ni el parámetro hash_check ni la identidad y autorización del usuario que realiza la solicitud. Esto permite al atacante proporcionar un valor arbitrario o fácilmente eludible para hash_check (ej. %C0).
Debido a que falta una autenticación robusta, una validación de nonce o una verificación de propiedad vinculada al user_id antes de procesar el cambio de contraseña, el sistema actualiza ciegamente la contraseña para el user_id especificado. Esto permite a un atacante restablecer la contraseña de cualquier usuario, incluidos los administradores, obteniendo así acceso administrativo no autorizado y control total sobre la instalación de WordPress. El ataque no requiere autenticación previa y puede ser difícil de detectar sin un monitoreo activo de los registros (logs).
Recomendaciones
- Actualizar inmediatamente: El paso más importante es actualizar el tema Motors a la versión correcta y más reciente (superior a la 5.6.67) lo antes posible. El proveedor ha lanzado un parche que soluciona el problema.
- Virtual Patching (WAF): Si no fuera posible actualizar inmediatamente, implemente reglas de Web Application Firewall (WAF) para bloquear o monitorear las solicitudes POST maliciosas a los puntos finales vulnerables (ej.
/loginregister/). En particular, las reglas deben apuntar a solicitudes que incluyan los parámetrosuser_idystm_new_passwordsin una autenticación de sesión correcta o provenientes de fuentes no confiables.
[Callforaction-THREAT-Footer]