Maliciozni hakeri iskorištavaju kritičnu ranjivost u dodatku Hunk Companion za WordPress kako bi instalirali druge ranjive dodatke koji bi mogli otvoriti vrata raznim napadima.
Greška, praćena kao CVE-2024-11972 (CVSS rezultat: 9.8), utiče na sve verzije dodatka pre 1.9.0. Dodatak ima preko 10.000 aktivnih instalacija.
„Ova mana predstavlja značajan sigurnosni rizik, jer omogućava napadačima da instaliraju ranjive ili zatvorene dodatke, koji se potom mogu iskoristiti za napade kao što su daljinsko izvršavanje koda (RCE), SQL Injection, Cross-Site Scripting (XSS) ili čak stvaranje administrativnih backdoor-a”, navodi WPScan u izvještaju.
Da stvar bude gora, napadači bi mogli iskoristiti zastarjele ili napuštene dodatke da zaobiđu sigurnosne mjere, manipuliraju zapisima baze podataka, izvrše zlonamjerne skripte i preuzmu kontrolu nad stranicama.
WPScan je rekao da je otkrio sigurnosni defekt kada je analizirao infekciju na nespecificiranoj WordPress stranici, otkrivši da su je hakeri naoružavali da instaliraju sada zatvoren dodatak pod nazivom WP Query Console , a nakon toga koriste RCE bug u instaliranom dodatku za izvršavanje malicioznog PHP kod.
Vrijedi napomenuti da RCE kvar nultog dana u WP Query Console, praćen kao CVE-2024-50498 (CVSS rezultat: 10.0), ostaje neotkriven.
CVE-2024-11972 je takođe zaobilaznica za CVE-2024-9707 (CVSS rezultat: 9,8), sličnu ranjivost u Hunk Companion-u koja može omogućiti instalaciju ili aktivaciju neovlaštenih dodataka. Ovaj nedostatak je riješen u verziji 1.8.5.
U suštini, proizilazi iz greške u skripti “hunk‑companion/import/app/app.php” koja omogućava neautorizovanim zahtjevima da zaobiđu provjere postavljene radi provjere da li trenutni korisnik ima dozvolu za instaliranje dodataka.
“Ono što ovaj napad čini posebno opasnim je njegova kombinacija faktora – korištenje prethodno zakrpljene ranjivosti u Hunk Companion-u za instaliranje sada uklonjenog dodatka s poznatom greškom u daljinskom izvršavanju koda”, primijetio je Daniel Rodriguez iz WPScan-a.
“Lanac eksploatacije naglašava važnost osiguranja svake komponente WordPress stranice, posebno tema i dodataka trećih strana, koji mogu postati kritične tačke ulaska za napadače.”
Razvoj dolazi kada je Wordfence otkrio veliku grešku u dodatku WPForms (CVE-2024-11205, CVSS rezultat: 8,5) koji omogućava autentifikovanim napadačima, sa pristupom na nivou pretplatnika i iznad, da refundiraju Stripe uplate i otkažu pretplate .
Ranjivost, koja pogađa verzije od 1.8.4 do, uključujući, 1.9.2.1, riješena je u verzijama 1.9.2.2 ili novijim. Dodatak je instaliran na preko 6 miliona WordPress stranica.
Izvor:The Hacker News
