Vulnérabilité critique dans le thème WordPress Motors : exploitation massive pour détourner les comptes administrateurs - Seckhmet

Une faille critique d’élévation de privilèges (CVE-2025-4322) dans le thème WordPress Motors est activement exploitée pour prendre le contrôle complet de sites WordPress. Cette vulnérabilité, découverte début mai 2025, permet à un attaquant non authentifié de modifier le mot de passe de n’importe quel utilisateur, y compris un administrateur sans aucune autorisation préalable.

Contexte

Développé par StylemixThemes, le thème Motors est utilisé par plus de 22 000 sites WordPress, principalement dans le secteur automobile. Il inclut des modules avancés de gestion de comptes, de formulaires et de recherche d’annonces.

Le composant vulnérable se trouve dans le widget “Login Register”, activé sur de nombreux sites via des pages comme /reset-password, /account, ou /signin.

Détail de la vulnérabilité

La faille repose sur une vérification incorrecte de l’identité utilisateur lors de la procédure de réinitialisation de mot de passe. Le champ hash_check, mal filtré, peut être manipulé avec des caractères UTF-8 invalides pour contourner la vérification de hachage dans la logique interne du thème.

Une fois la vérification contournée, l’attaquant soumet dans le POST un champ stm_new_password ainsi qu’un user_id pointant vers un compte administrateur. Cela déclenche la réinitialisation directe du mot de passe, sans validation d’email ni jeton sécurisé.

Exemple de POST malveillant

POST /index.php/login-register/?user_id=3&hash_check=%80 HTTP/1.1
Host: [redacted]
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
 
stm_new_password=Testtest123%21%40%23

Résultat : l’attaquant peut se connecter immédiatement avec ce mot de passe défini.

Indicateurs de compromission

Les signes d’une exploitation de cette vulnérabilité :

L’impossibilité pour les administrateurs de se connecter (mot de passe invalide)
L’apparition de nouveaux comptes administrateurs dans le back-office
Des connexions suspectes provenant d’IP malveillantes
Des fichiers PHP modifiés ou des comportements inhabituels dans le tableau de bord

Mesures de remédiation

Mettre à jour immédiatement le thème Motors vers la version 5.6.68 ou supérieure

Réinitialiser tous les mots de passe des utilisateurs

Supprimer tous les comptes inconnus ou créés récemment

Mettre en place des mécanismes de double authentification (MFA)

Rechercher dans les logs les requêtes POST anormales vers /reset-password ou /login-register.