Se ha descubierto una vulnerabilidad de severidad crítica en el tema de WordPress Alone. Esta podría permitir a un actor malicioso ganar control total de los sitios web vulnerables.
Productos afectados
- Alone, versiones 7.8.3 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-5394: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad que proviene de una verificación de capacidad faltante en la función alone_import_pack_install_plugin(), que maneja la instalación de plugins durante la configuración del tema. Esta condición podría permitir a un actor malicioso no autenticado aprovecharse de la acción de AJAX wp_ajax_nopriv_alone_import_pack_install_plugin para subir archivos arbitrarios desde fuentes remotas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-5394
- https://www.wordfence.com/blog/2025/07/attackers-actively-exploiting-critical-vulnerability-in-alone-theme/