WordPress布景主題Alone存在重大漏洞，已被用於實際攻擊行動

資訊安全公司Wordfence揭露，一款名為Alone的WordPress布景主題存在重大安全漏洞CVE-2025-5394，並發現已有攻擊者利用該漏洞攻擊未修補的網站。該漏洞屬於9.8分的高危險性，能使未經授權的遠端攻擊者上傳惡意檔案，甚至執行遠端程式碼，最終導致網站被完全控制。Alone主題整體銷售量不大約9,000份，但目前Wordfence防火牆已偵測到超過12萬次的相關攻擊嘗試。

Wordfence指出，該漏洞最早由研究人員於5月通報，經驗證後確認屬實，便隨即透過其防火牆規則提供防護。不過，攻擊者似乎早已掌握到原始碼變更，趕在官方公開揭露之前，便展開大規模的入侵嘗試。

CVE-2025-5394漏洞出現在Alone布景主題提供的外掛安裝功能中，原本應有的權限檢查以及防止偽造請求的Nonce驗證機制，在特定功能alone_import_pack_install_plugin中皆缺乏實作，加上此功能透過WordPress AJAX API以nopriv模式開放，使得未經登入認證的攻擊者可直接執行，允許從遠端URL下載惡意壓縮檔並安裝，進一步導致遠端程式碼執行。

攻擊者透過上傳藏有惡意後門的壓縮外掛檔案，植入具有網站管理員權限的帳號或執行後門程式，或是安裝網頁檔案管理工具，以便維持對網站的控制。Wordfence防火牆偵測的攻擊資料顯示，數個來自歐洲地區的IP位址特別活躍，其中單一IP就曾嘗試入侵超過3萬次，代表這類攻擊已高度自動化且大規模進行。

CVE-2025-5394漏洞的修補版本為7.8.5，Alone主題開發者已於6月16日發布該修正版本。即使網站已透過Wordfence防火牆阻擋攻擊，研究人員仍建議所有網站管理人員立即更新主題至最新版本，確保網站運作與安全防護能力。