Nouvelle vulnérabilité de grande ampleur sur WordPress. Aujourd'hui, le problème vient du thème Motors du CMS. Il permet de voler les comptes administrateurs pour prendre le contrôle complet des sites en modifiant les droits. Cette faille est la CVE-2025-4322. Il faut mettre à jour immédiatement. 

Le thème Motors est développé par StylemixThemes. Des dizaines de milliers sites fonctionnent avec ce thème. La faille a été découverte début mai. Le problème vient d'une validation mal définie de l'identitié des utilisateurs. Cela permet aux hackers non référencés de modifier les mots de passe des utilisateurs y compris ceux des administrateurs. Et ensuite : c'est open bar !

Un fix a été distribué en urgence le 14 mai : Motors 5.6.68. 

A la conférence Wordfence, une session a expliqué la faille et a montré qu'elle a été largement exploitée. En 2 semaines, plus de 23 000 attaques ont pu être identifiées. La faille est relativement simple à exploiter. 

Les détails techniques : https://www.bleepingcomputer.com/news/security/wordpress-motors-theme-flaw-mass-exploited-to-hijack-admin-accounts/