Eine Sicherheitslücke im WordPress-Theme Alone macht damit ausgestattete Websites verwundbar. Angreifer nutzen die "kritische" Lücke bereits aus und führen Schadcode aus. Eine dagegen abgesicherte Version steht zum Download bereit.
Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Sie geben an, in der Spitze mehr als 120.000 Angriffsversuche beobachtet zu haben. Setzen Angreifer erfolgreich an der Sicherheitslücke (CVE-2025-5394) an, können sie ohne Authentifizierung aufgrund von mangelnden Überprüfungen Zip-Dateien mit Schadcode hochladen und ausführen.
Die Forscher erläutern, dass Angreifer versuchen, mit Schadcode verseuchte Plug-ins auf erfolgreich attackierten Websites zu installieren, um Hintertüren einzurichten. Admins sollten also nach ihnen unbekannten Plug-ins Ausschau halten.
Die Entwickler geben an, das Sicherheitsproblem in Alone – Charity Multipurpose Non-profit WordPress Theme 7.8.5 gelöst zu haben.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo