Вы платите $2000 за красивый сайт, а получаете дыру, через которую любой вор заходит как админ
WordPress-тема с тысячами установок оказалась пропуском в админку без логина и пароля.
Критическая уязвимость повышения привилегий в премиум-теме Motors для WordPress позволяет злоумышленникам без авторизации получить полный контроль над сайтом, включая захват учётных записей администраторов. Обнаруженная проблема уже получила идентификатор CVE-2025-4322 и оценку CVSS: 9.8.
Motors — одна из самых популярных автомобильных тем на платформе WordPress. Её разработала компания StylemixThemes, а активнее всего она используется автосалонами, сервисами проката и площадками по продаже подержанных автомобилей. Тема была продана более 22 300 раз и собрала сотни отзывов, что говорит о широкой популярности и постоянном использовании.
Уязвимость затрагивает все версии Motors до включительно 5.6.67 и связана с тем, что механизм обновления пароля не проверяет подлинность пользователя. Это позволяет неавторизованному злоумышленнику изменить пароль любого аккаунта, включая администратора, и тем самым получить к нему доступ. Сразу после получения прав администратора атакующий может внедрить вредоносный код, скачать базу данных с персональными данными пользователей или настроить автоматические переадресации на вредоносные сайты.
Обновление, устраняющее уязвимость, уже доступно — 14 мая 2025 года вышла версия Motors 5.6.68 . Разработчик опубликовал подробную инструкцию по обновлению темы: это можно сделать через админку WordPress, API Envato или вручную по FTP. Отмечается, что из-за того, что тема является центральной частью сайта, её невозможно временно отключить, как, например, обычный плагин, поэтому обновление нужно установить как можно быстрее. Также перед обновлением рекомендуется создать резервную копию сайта, чтобы избежать потери данных.
Хотя проблема не затрагивает массово используемые плагины, присутствие Motors на коммерческих сайтах делает её особенно опасной. Стандартная лицензия темы стоит $79, а расширенная — $2 000, что говорит о её применении преимущественно в рабочих проектах с активной пользовательской базой.