Defiantは7月29日(米国時間)、「Attackers Actively Exploiting Critical Vulnerability in Alone Theme」において、WordPressのチャリティ非営利多目的テーマ「Alone」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていない第三者に遠隔から任意のファイルをアップロードされたり、任意のコードを実行されたりする可能性がある。

  • Attackers Actively Exploiting Critical Vulnerability in Alone Theme

    Attackers Actively Exploiting Critical Vulnerability in Alone Theme

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-5394 - 不十分な認証の脆弱性。、認証されていない第三者が、任意のファイルをアップロードできる可能性がある。その結果として、任意のプラグインの展開、Webシェルの設置、任意のコードの実行につながる可能性がある(CVSSスコア: 9.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Alone バージョン7.8.3およびこれ以前のバージョン

脆弱性を修正した製品

脆弱性を修正したとされる製品およびバージョンは次のとおり。

  • Alone バージョン7.8.5

影響と対策

WordPressの有料テーマ「Alone」は約1万サイトに販売実績のある人気のテーマ。発見された脆弱性は7月12日以降、積極的な悪用が確認されており、Defiantは29日までに12万回を超える顧客への攻撃をブロックしたと報告している。

脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該テーマを利用しているWordPressサイトの管理者は、速やかにテーマをアップデートすることが推奨されている。

なお、被害に遭ったWebサイトからは、攻撃者が作成した管理者アカウント、永続性のあるマルウェアドロッパー、バックドアなどが確認されている。すでに侵害された可能性がある場合は、セキュリティ企業や専門家の支援を得ながら、復旧および対策を実施することが望まれている。