Un tema popular de WordPress ha sido infectado por malware.

Un tema de WordPress llamado 'Motors' ha sido objeto de un ataque por parte de hackers que han aprovechado una grave vulnerabilidad de escalado de privilegios, identificada como CVE-2025-4322. Este defecto permite que atacantes no autenticados asuman el control de cuentas de administrador, brindándoles la capacidad de modificar información, insertar datos falsos y propagar cargas maliciosas.

Desarrollado por StylemixThemes, 'Motors' es un tema premium popular entre sitios de automóviles, con casi 22,500 ventas registradas en EnvatoMarket. La falla fue detectada por primera vez el 2 de mayo de 2025, y se lanzó un parche el 14 de mayo con la versión 5.6.68, lo que significa que las cuentas actualizadas están protegidas contra posibles apoderamientos. Las versiones anteriores a la 5.6.68 son vulnerables y, según informes de Wordfence, los problemas comenzaron a intensificarse el 20 de mayo. Para el 7 de junio, los investigadores habían notado ataques a gran escala, bloqueando más de 23,000 intentos.

La explicación de Wordfence detalla que el problema radica en que el tema no valida correctamente la identidad de un usuario antes de permitirle actualizar su contraseña. Esto permite a los atacantes no autenticados cambiar contraseñas de cualquier usuario, incluidos los administradores, facilitando el acceso no autorizado a sus cuentas. Un signo evidente de que un sitio ha podido ser infectado es si el administrador no logra acceder usando la contraseña correcta, ya que esta puede haber sido alterada debido a esta vulnerabilidad.

La principal recomendación para los usuarios del tema 'Motors' es actualizar a la versión 5.6.68 para cerrar esta brecha y asegurar sus cuentas contra futuros intentos de toma de control.