A empresa de segurança cibernética Cerca de palavras acordo uma nova onda de exploração em massa mirando ambientes WordPress a partir de 8 de outubro de 2025. Os ataques buscam vulnerabilidades críticas em dois plug-ins da plataforma. O ataque permite que invasores não autenticados instalem programas e é provável que assuma o controle dos sites.
As falhas, divulgadas pela primeira vez no final de 2024, afetam os plug-ins GutenKit e Hunk Companion. O GutenKit possui mais de 40.000 instalações ativas e o Hunk Companion, mais de 8.000. Embora os patches estou disponível há mais de um ano, hackers retomaram as atividades em larga escala, motivando pedido para que administradores de sites atualizem imediatamente.
Como a vulnerabilidade permite o ataque
As vulnerabilidades, as classificações como críticas com pontuação CVSS de 9,8resultam da ausência de verificações de autorização nos pontos de extremidade da API REST dos plug-ins. Isso significa que qualquer pessoa pode instalar e ativar plug-ins sem autenticação. Pesquisadores da Wordfence, incluindo Sean Murphy e Daniel Rodriguez, identificaram os problemas por meio do programa de recompensas por insetos.
Nas versões do GutenKit até 2.1.0, o ponto final “instalar-plugin-ativo” cuidado com as permissões específicas. Isso permite o carregar e descompactação de arquivos ZIP maliciosos diretamente no diretório de plug-ins faça WordPress. O processo pode levar execução remota de código (RCE) por meio da implantação de portas dos fundos disfarçados de plug-ins legítimos.
De modo semelhante, as versões do Hunk Companion até 1.8.5 expõem o ponto final “themehunk-importação”. Os investigadores exploram essa falha para obter plug-ins vulneráveis do repositório do WordPress, como o wp-query-console sem correção, que contém a própria falha RCE.
O impacto da exploração e a resposta da segurança
Registros de ataques revelam táticas. Hum carga útil comum, hospedado não GitHubinclui roteiros PHP ofuscados que imitam o Tudo em um SEO para controle administrativo, além de gerenciadores de arquivos para carregar de malware e ferramentas para espionagem de rede e desfiguração em massa. Outra tentativa de instalar o wp-query-console para encadear explorações.
Ó firewall da Wordfence já bloqueou mais de 8,75 milhões de tentativas desde que as regras de segurança foram rompidas em setembro de 2024, com um pico registrado em 8 e 9 de outubro de 2025. O propósito dos invasores é tomar o controle e instalar softwares em massa.
