资讯安全公司Wordfence揭露，一款名为Alone的WordPress布景主题存在重大安全漏洞CVE-2025-5394，并发现已有攻击者利用该漏洞攻击未修补的网站。该漏洞属于9.8分的高危险性，能使未经授权的远端攻击者上传恶意文件，甚至执行远端程序码，最终导致网站被完全控制。Alone主题整体销售量不大约9,000份，但目前Wordfence防火墙已侦测到超过12万次的相关攻击尝试。

Wordfence指出，该漏洞最早由研究人员于5月通报，经验证后确认属实，便随即透过其防火墙规则提供防护。不过，攻击者似乎早已掌握到原始码变更，赶在官方公开揭露之前，便展开大规模的入侵尝试。

CVE-2025-5394漏洞出现在Alone布景主题提供的外挂安装功能中，原本应有的权限检查以及防止伪造请求的Nonce验证机制，在特定功能alone_import_pack_install_plugin中皆缺乏实作，加上此功能透过WordPress AJAX API以nopriv模式开放，使得未经登入认证的攻击者可直接执行，允许从远端URL下载恶意压缩档并安装，进一步导致远端程序码执行。

攻击者透过上传藏有恶意后门的压缩外挂文件，植入具有网站管理员权限的帐号或执行后门程序，或是安装网页文件管理工具，以便维持对网站的控制。Wordfence防火墙侦测的攻击资料显示，数个来自欧洲地区的IP位址特别活跃，其中单一IP就曾尝试入侵超过3万次，代表这类攻击已高度自动化且大规模进行。

CVE-2025-5394漏洞的修补版本为7.8.5，Alone主题开发者已于6月16日发布该修正版本。即使网站已透过Wordfence防火墙阻挡攻击，研究人员仍建议所有网站管理人员立即更新主题至最新版本，确保网站运作与安全防护能力。