根據 BleepingComputer 報導，WordPress 的 Alone 主題被發現存在一個高度嚴重的遠端程式碼執行（RCE）漏洞，駭客正積極利用此漏洞入侵網站。此漏洞允許未經身份驗證的攻擊者在受影響的網站上執行任意程式碼，這意味著駭客可以完全控制網站，包括竊取數據、植入惡意軟體或破壞網站內容。
 

此漏洞編號為 CVE-2025-5394，影響 Alone 7.8.3 以上版本。供應商 Bearsthemes 已於 2025 年 6 月 16 日發布的 Alone 7.8.5 版本中修復了漏洞。問題源自於主題的「alone_import_pack_install_plugin()」函數，該函數缺少隨機數檢查並透過 wp_ajax_nopriv_ 鉤子暴露。

這個漏洞的危險性在於其**「零日」特性**，即在開發者發布修復之前，攻擊就已經開始。對於使用 Alone 主題的 WordPress 網站來說，這是一個迫在眉睫的威脅。資安專家強烈建議所有使用此主題的網站管理員立即採取行動，以防止其網站遭受侵害。RCE 漏洞是最危險的漏洞類型之一，因為它直接賦予攻擊者在目標系統上執行程式的權限，這可能導致災難性的後果，例如：

1. 數據竊取： 駭客可以存取敏感的用戶數據或資料庫資訊。
2. 網站內容篡改： 網站頁面可能被修改、刪除或植入惡意內容。
3. 惡意軟體分發： 駭客可能將您的網站變成散布惡意軟體的平台，進而感染您的訪客。
4. 網站癱瘓： 攻擊者可能導致網站離線，造成業務中斷和聲譽損失。

由於此漏洞的嚴重性及駭客的積極利用，網站管理員應密切關注 Alone 主題的官方更新資訊，並在修補程式發布後立即應用。同時，建議所有 WordPress 用戶定期備份網站數據，並實施額外的安全措施，例如使用防火牆、安全插件和強密碼，以增強整體防禦能力。上個月，另一個高級 WordPress 主題 Motors 成為駭客攻擊的目標，駭客利用用戶驗證漏洞劫持了易受攻擊的網站上的管理員帳號。