近日,安全公司Wordfence警告称,WordPress高级主题Alone存在一个被追踪为CVE-2025-5394的高危未认证任意文件上传漏洞,已被黑客大规模利用实现远程代码执行,导致网站被完全接管。据报道,该漏洞影响Alone 7.8.3及以前的所有版本,攻击者可通过`alone_import_pack_install_plugin()`函数上传Webshell或后门,从而远程控制网站、创建隐藏管理员账户,甚至安装功能齐全的文件管理器,对数据库进行操作。
Wordfence表示,在漏洞公开前几天即已监测到黑客利用痕迹,截至目前已阻止超过12万次攻击企图。被攻击的IP包括193.84.71.244、87.120.92.24、146.19.213.18及2a0b:4141:820:752::2,建议网站管理者立即封禁。
Alone主题在Envato市场销量近万,主要用户为公益、NGO和社会组织。厂商Bearsthemes已于6月16日发布漏洞修复版本7.8.5,建议所有用户尽快升级,检查是否有异常管理员、可疑ZIP或插件文件夹,以及特定的admin-ajax.php请求,以排查被入侵风险。