Alerta de seguridad: vulnerabilidad crítica en tema Alone de WordPress

Recientemente se ha descubierto que el tema Alone – Charity Multipurpose Non-profit WordPress para WordPress sin fines de lucro y caritativo es vulnerable. Esta comunicación tiene como objetivo informar, analizar el impacto y proveer recomendaciones concretas para mitigar el riesgo.

La vulnerabilidad CVE‑2025‑5394, anunciada por INCIBE‑CERT el 15 de julio de 2025, afecta al tema Alone para WordPress en todas sus versiones hasta la 7.8.3 inclusive. El fallo reside en la función alone_import_pack_install_plugin() que expone un endpoint AJAX sin verificación de permisos, lo que permite a atacantes no autenticados subir archivos ZIP con plugins maliciosos (webshells) y ejecutar código remoto (RCE) con control total del sitio .

Según informes de HispaSec, esta fallo está siendo explotada activamente, con multitud de intentos de carga de backdoors en sitios vulnerables. Se estima que el tema cuenta con cerca de 10 000 ventas, siendo usado principalmente por organizaciones sin ánimo de lucro y fundaciones, lo que amplifica el impacto potencial.

El fallo es extremadamente grave: el CVSS v3.1 asigna una puntuación base de 9.80 (Crítica/Control total). La explotación no requiere autenticación, no necesita interacción del usuario y es de acceso directo desde la red.

Recursos Afectados

• Tema WordPress Alone – Charity Multipurpose Non‑profit, versiones hasta la 7.8.3 inclusive.
• Sitios WordPress que utilicen dicho tema en entornos públicos expuestos a Internet.

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

1. Actualizar inmediatamente el tema Alone a la versión 7.8.5 o superior, que corrige la vulnerabilidad
2. Bloquear temporalmente el endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin) si no es posible actualizar de inmediato; puede implementarse mediante WAF o IDS/.
3. Analizar registros y actividad inusual, buscando cargas de plugins, archivos ZIP no autorizados o creación de usuarios administrativos desconocidos.
4. Cambiar credenciales críticas, incluyendo cuentas de administrador WordPress, FTP, hosting y base de datos, si se sospecha compromiso.
5. Restaurar desde copias limpias si se detectan backdoors o accesos ocultos y desactivar archivos sospechosos.
6. Refuerzo general de seguridad: manten WordPress, temas y plugins siempre actualizados; utiliza autenticación de dos factores; aplica permisos mínimos; y monitoriza actividad con plugins como Wordfence o Sucuri b.

Referencias

•  CVE-2025-5394 | INCIBE-CERT | INCIBE
• Fuga de seguridad crítica en un popular tema de WordPress permite a los hackers tomar el control total de los sitios web – Una Al Día