Kritična WordPress ranjivost: CVE‑2025‑5394 u temi "Alone"

1. Sažetak

Otkrivena je ozbiljna ranjivost u popularnoj WordPress temi “Alone – Charity Multipurpose Nonprofit” (verzije do 7.8.3), označena kao CVE‑2025‑5394. Ranjivost omogućuje neautentificiranim napadačima da putem AJAX zahtjeva učitaju proizvoljne dodatke (plugins), što otvara mogućnost udaljenog izvršavanja koda (RCE) i potpune kompromitacije stranice.
Zbog česte uporabe teme među organizacijama neprofitnog karaktera, prijetnja ima potencijal širokog utjecaja. Aktivno iskorištavanje ove ranjivosti potvrđeno je već 12. srpnja 2025., dva dana prije javne objave.

2. Detalji

Ranjivost proizlazi iz funkcije alone_import_pack_install_plugin() koja ne provodi provjeru privilegija korisnika, čime se omogućuje izvođenje AJAX poziva i postavljanje zlonamjernih datoteka bez autentikacije.
Napadači iskorištavaju ovu slabost za učitavanje ZIP arhiva koje sadrže PHP skripte s backdoor kodom (npr. wp-classic-editor.zip, background-image-cropper.zip). Ove skripte omogućuju:

• trajnu kontrolu nad sustavom
• manipulaciju sadržajem
• administrativni pristup

Jednom kada preuzmu kontrolu, napadači mogu:

• izvršavati proizvoljan kod
• dodavati ili brisati korisnike
• mijenjati sadržaj stranice
• krasti podatke korisnika i posjetitelja

Ranjivost ne zahtijeva prijavu niti korisničku interakciju, te nosi CVSS ocjenu 9.8, što ju svrstava među najkritičnije.

3. Preporuke

Za zaštitu se preporučuje:

• Ažuriranje teme “Alone” na verziju 7.8.5 ili noviju
• Pregled logova za sumnjive AJAX zahtjeve na:
  /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin
• Provjera administratorskih računa i uklanjanje neautoriziranih korisnika
• Primjena WAF pravila za blokiranje opasnih AJAX zahtjeva
• Kontinuirani nadzor aktivnosti i logova web-stranice

4. Reference

• https://www.bleepingcomputer.com/news/security/hackers-actively-exploit-critical-rce-in-wordpress-alone-theme/
• https://nvd.nist.gov/vuln/detail/CVE-2025-5394