WordPress-Theme Alone: Kriminelle nutzen Sicherheitslücke für vollständige Webseitenübernahme
Eine Sicherheitslücke im WordPress-Theme Alone ermöglicht es Angreifern, beliebige Dateien auf Webseiten hochzuladen und komplette Kontrolle über betroffene Websites zu erlangen. Die Schwachstelle mit der Kennung CVE-2025-5394 erreicht auf der CVSS-Skala den kritischen Wert von 9,8 und wird bereits von Kriminellen ausgenutzt. Über 120.000 Angriffsversuche hat das Sicherheitsunternehmen Wordfence registriert und blockiert.
Das Alone-Theme, entwickelt vom Unternehmen Bearsthemes und über die Plattform ThemeForest vertrieben, richtet sich an gemeinnützige Organisationen, Wohltätigkeitsverbände und NGOs. Mit über 9.000 Verkäufen gehört es zu den verbreiteten Premium-Themes im WordPress-Ökosystem. Alle Versionen bis einschließlich 7.8.3 sind von der Sicherheitslücke betroffen. Die Entwickler haben das Problem in Version 7.8.5 behoben, die bereits am 16. Juni 2025 veröffentlicht wurde.
Die Schwachstelle liegt in der Funktion „alone_import_pack_install_plugin()“, die für die Installation von Plugins während der Theme-Einrichtung zuständig ist. Diese Funktion verfügt über keine Berechtigungsprüfungen und ist über eine AJAX-Schnittstelle auch für nicht authentifizierte Benutzer zugänglich. Angreifer können dadurch beliebige ZIP-Archive von externen Servern laden und als Plugins installieren. Diese vermeintlichen Plugins enthalten PHP-basierte Hintertüren, die den Kriminellen Fernzugriff auf die kompromittierte Website ermöglichen.
Die Angriffe folgen einem simplen Schema. Kriminelle senden manipulierte Anfragen an die verwundbare AJAX-Schnittstelle der betroffenen Websites. Dabei schleusen sie ZIP-Archive mit Namen wie „wp-classic-editor.zip“ oder „background-image-cropper.zip“ ein, die sich als harmlose WordPress-Plugins tarnen. Nach der Installation können die Angreifer über diese Hintertüren beliebige Befehle auf dem Server ausführen, weitere schädliche Dateien hochladen oder sogar vollwertige Dateiverwaltungssysteme installieren. Einige Varianten der Schadsoftware erstellen auch gefälschte Administrator-Konten, um dauerhaften Zugang zu sichern.
Die Angriffe stammen von verschiedenen IP-Adressen, wobei Wordfence die aktivsten mit über 39.900 beziehungsweise 37.100 blockierten Anfragen identifiziert hat. Das Ausmaß der Bedrohung wird durch die Tatsache unterstrichen, dass die Sicherheitsfirma binnen weniger Wochen mehr als 120.000 Angriffsversuche registrierte. Diese Zahlen belegen, dass es sich nicht um einzelne, opportunistische Attacken handelt, sondern um eine koordinierte Kampagne.
Für Betreiber betroffener Websites ergeben sich mehrere Probleme. Zum einen ist die Lücke für Laien schwer zu erkennen, da die Angriffe oft unbemerkt ablaufen. Zum anderen können die Konsequenzen verheerend sein: Von der Manipulation der Website-Inhalte über den Diebstahl sensibler Daten bis hin zur Nutzung der kompromittierten Seite als Ausgangspunkt für weitere Attacken. Besonders problematisch ist dies für gemeinnützige Organisationen, die oft über begrenzte IT-Ressourcen verfügen und möglicherweise nicht die Expertise besitzen, um solche Bedrohungen rechtzeitig zu erkennen.
Website-Betreiber, die das Alone-Theme verwenden, sollten umgehend auf Version 7.8.5 oder höher aktualisieren. Zusätzlich empfiehlt es sich, die Website auf Anzeichen einer Kompromittierung zu überprüfen, verdächtige Administrator-Konten zu löschen und Logdateien nach ungewöhnlichen Aktivitäten zu durchsuchen. Langfristig sollten Organisationen ihre Abhängigkeit von Premium-Themes überdenken und verstärkt auf Open-Source-Alternativen setzen, die einer breiteren Kontrolle durch die Community unterliegen.
Schlagwörter: WordPress + CVE-2025-5394 + Alone-Theme
(pz)
