CVE-2025-4322: cómo una sola línea de código desmanteló la seguridad de miles de sitios WordPress

Una vulnerabilidad crítica en el tema visual de WordPress llamado Motors permitió a hackers tomar masivamente privilegios de administrador y obtener control total sobre sitios comprometidos. La brecha, identificada como CVE-2025-4322, corresponde a un fallo de escalada de privilegios y fue descubierta el 2 de mayo de 2025. El equipo de seguridad de Wordfence fue quien la investigó y, el 19 de mayo, publicó un informe recomendando encarecidamente a los usuarios instalar el parche de inmediato.

Motors es una plantilla comercial para WordPress desarrollada por StylemixThemes. En la terminología de WordPress, un “tema” define el diseño del sitio, la estructura de la interfaz, el formato del contenido y puede incluir funcionalidades adicionales. Motors es especialmente popular entre proyectos del sector automotriz — desde concesionarios hasta portales de compraventa de vehículos. Está disponible en el marketplace EnvatoMarket y ha sido descargado más de 22.460 veces.

La vulnerabilidad afecta a todas las versiones hasta la 5.6.68 inclusive. La actualización que corrige el fallo se publicó el 14 de mayo. Sin embargo, muchos administradores no alcanzaron a aplicarla, y ya el 20 de mayo — apenas un día después de hacerse pública la información — comenzaron los primeros intentos reales de explotación. Para el 7 de junio, Wordfence había registrado más de 23.100 casos de uso malicioso.

El problema reside en el widget integrado “Login Register”, encargado del inicio de sesión, el registro y la recuperación de acceso. El defecto clave está en la lógica de restablecimiento de contraseña.

El ataque inicia con la búsqueda de una ruta activa al formulario — puede ser /login-register, /account, /reset-password, /signin o una URL similar. El atacante envía una serie de solicitudes POST con datos manipulados hasta que el servidor responde positivamente, confirmando que la página objetivo existe.

En la solicitud exitosa se transmite un valor malicioso para el parámetro ‘hash_check’, que contiene caracteres no válidos en codificación UTF-8. Esto genera un fallo en la verificación del hash: el sistema asume erróneamente que la petición es válida y permite restablecer la contraseña.

Luego, en el parámetro ‘stm_new_password’ se introduce una nueva clave, y en el campo de ID se especifica el número de la cuenta — normalmente ID=1, correspondiente al primer usuario creado con privilegios totales.

Como resultado, el atacante cambia la contraseña del administrador, accede al panel de control del sitio y puede crear nuevas cuentas con el mismo nivel de acceso para mantener el control.

Wordfence señala que los signos más alarmantes de una intrusión son el bloqueo inesperado de credenciales administrativas actuales y la aparición de nuevos usuarios con permisos elevados. Esto es un claro indicio de explotación activa de CVE-2025-4322.

En su informe también se enumeran direcciones IP desde las cuales se originaron los ataques. Se recomienda a los propietarios de sitios web bloquear temporalmente estas fuentes a nivel de servidor web para reducir el riesgo de intrusiones automatizadas.

Los investigadores identificaron combinaciones específicas usadas por los atacantes para modificar credenciales de acceso:

• Testtest123!@#
• rzkkd$SP3znjrn
• Kurd@Kurd12123
• owm9cpXHAZTk
• db250WJUNEiG

Si alguna de estas claves aparece en los registros o en el panel administrativo, es una fuerte señal para realizar una revisión urgente. Todos los usuarios que utilicen el tema Motors deben actualizar sin demora a la versión 5.6.68, revisar la lista de cuentas con permisos de administrador y analizar los registros de actividad en busca de anomalías.