Una vulnerabilidad crítica (CVE-2025-5394) fue descubierta en el tema «Alone – Charity Multipurpose Non-profit WordPress Theme», con un riesgo CVSS de 9.8/10.
El fallo permitía que atacantes no autenticados instalaran plugins maliciosos de forma remota, logrando un control total del sitio web.
Las versiones vulnerables llegan hasta la 7.8.3 incluida, ya existe una actualización que soluciona el problema.
Fuente: Una al Día (Hispasec)
🔎 Impacto Potencial
- Robo de datos de usuarios y clientes
- Inyección de malware y redirecciones a sitios falsos
- Creación de cuentas de administrador ocultas
- Uso del servidor para ataques externos
- Eliminación o desfiguración del sitio
✅ Recomendaciones
- Actualizar inmediatamente el tema a la última versión.
- Auditar plugins instalados y eliminar los sospechosos.
- Revisar usuarios administradores por accesos ilegítimos.
- Mantener copias de seguridad recientes.
- Implementar un WAF (firewall de aplicaciones web) como capa extra de protección.
Ahora, para acompañar esta noticia te genero un par de imágenes ilustrativas que representen la situación:
- Un hacker tomando control de un sitio WordPress.
- Un panel de WordPress con alerta de seguridad crítica.
