El fallo CVE-2025-5394, con una puntuación CVSS de 9.8, ya está siendo explotado por ciberdelincuentes; se recomienda actualizar urgentemente

Una grave vulnerabilidad de seguridad está comprometiendo a miles de sitios web WordPress que utilizan el tema «Alone – Charity Multipurpose Non-profit WordPress Theme», uno de los más populares entre organizaciones sin ánimo de lucro. Identificada como CVE-2025-5394, esta falla crítica permite a atacantes no autenticados instalar plugins de forma remota y ejecutar código malicioso, obteniendo así el control absoluto del sitio afectado.

¿Qué está ocurriendo?

El fallo, presente hasta la versión 7.8.3 del tema, reside en una función llamada alone_import_pack_install_plugin(), la cual carece de un control de permisos adecuado. Esto permite que cualquier usuario —incluso sin autenticarse— invoque dicha función mediante una simple petición AJAX, ordenando al sitio la instalación de plugins desde una URL externa.

Este mecanismo, habitualmente reservado a administradores, se convierte en un vector directo de ejecución remota de código (RCE). Un atacante puede instalar un plugin malicioso que ejecute cualquier acción: desde crear cuentas ocultas hasta robar datos o insertar malware.

Impacto potencial: del robo de datos al uso del servidor como bot malicioso

Según los expertos, la explotación exitosa de esta vulnerabilidad permite al atacante realizar una toma completa del sitio (full site takeover). Entre las acciones posibles:

• Robo de datos personales y confidenciales desde la base de datos.
• Inserción de malware para afectar a los visitantes o redirigir el tráfico hacia sitios de phishing.
• Creación de cuentas de administrador ocultas para mantener el acceso.
• Utilización del servidor para actividades ilícitas como envío de spam o minería de criptomonedas.
• Desfiguración del sitio o eliminación completa de los contenidos.

¿Qué versiones están afectadas?

Los desarrolladores del tema han lanzado un parche correctivo. Se recomienda aplicar la actualización inmediatamente para mitigar el riesgo.

Recomendaciones para administradores WordPress

• Actualice el tema Alone sin demora a la última versión disponible.
• Audite los plugins instalados: elimine cualquier extensión sospechosa o no reconocida.
• Revise la lista de usuarios, especialmente los administradores, y elimine accesos no legítimos.
• Implemente copias de seguridad regulares y guarde al menos una versión previa limpia.
• Refuerce la seguridad general del sitio con un Web Application Firewall (WAF) y asegúrese de que todo el entorno (WordPress, temas y plugins) esté actualizado.

Un recordatorio sobre el peligro de componentes vulnerables

Este incidente subraya la importancia de monitorizar y mantener actualizados todos los componentes de un sitio WordPress, incluyendo temas premium que pueden parecer confiables pero suponer un riesgo crítico si no se actualizan a tiempo.

Fuentes como The Hacker News, Incibe y la base de datos NVD ya recogen informes detallados sobre esta brecha. El equipo de seguridad de HispaSec ha advertido que la explotación está ocurriendo activamente, lo que convierte esta alerta en una emergencia real para cualquier organización o desarrollador que utilice este tema.

Referencias: Hackers exploit critical wordpress, CVE-2025-5394, CVE-2025-5394 y Attackers actively exploit critical zero-day in Alone WordPress Theme