Atores maliciosos estão explorando uma vulnerabilidade crítica no plugin Hunk Companion para WordPress para instalar outros plugins vulneráveis que podem abrir a porta para uma variedade de ataques.
A falha, rastreada como CVE-2024-11972 (pontuação CVSS: 9.8), afeta todas as versões do plugin anteriores à 1.9.0.
O plugin tem mais de 10.000 instalações ativas.
"Esta falha representa um risco significativo de segurança, pois permite que atacantes instalem plugins vulneráveis ou encerrados, que podem então ser explorados para ataques como Execução Remota de Código (RCE), Injeção SQL, Cross‑Site Scripting (XSS), ou mesmo a criação de backdoors administrativos," relatou a WPScan.
Para piorar a situação, atacantes poderiam aproveitar plugins desatualizados ou abandonados para contornar medidas de segurança, adulterar registros de bancos de dados, executar scripts maliciosos e assumir o controle dos sites.
A WPScan disse que descobriu o defeito de segurança ao analisar uma infecção em um site WordPress não especificado, descobrindo que atores de ameaças estavam o utilizando para instalar um plugin agora fechado chamado WP Query Console, e subsequentemente explorando um bug RCE no plugin instalado para executar código PHP malicioso.
Vale ressaltar que a falha RCE zero-day no WP Query Console, rastreada como
CVE-2024-50498
(pontuação CVSS: 10.0), permanece sem correção.
O CVE-2024-11972 também é uma bypass de correção para o CVE‑2024‑9707 (pontuação CVSS: 9.8), uma vulnerabilidade similar em Hunk Companion que poderia possibilitar a instalação ou ativação de plugins não autorizados.
Esta deficiência foi abordada na versão 1.8.5.
No seu núcleo, ela decorre de um bug no script "hunk‑companion/import/app/app.php" que permite que solicitações não autenticadas contornem verificações colocadas para verificar se o usuário atual tem permissão para instalar plugins.
"O que torna este ataque particularmente perigoso é a sua combinação de fatores -- aproveitando uma vulnerabilidade previamente corrigida em Hunk Companion para instalar um plugin agora removido com uma falha conhecida de Execução Remota de Código," observou Daniel Rodriguez da WPScan.
"A cadeia de exploração sublinha a importância de garantir a segurança de todos os componentes de um site WordPress, especialmente temas e plugins de terceiros, que podem se tornar pontos críticos de entrada para atacantes." Este desenvolvimento ocorre enquanto a Wordfence divulgou uma falha de alta gravidade no plugin WPForms (
CVE-2024-11205
, pontuação CVSS: 8.5) que possibilita a atacantes autenticados, com acesso de nível de Assinante ou superior, reembolsar pagamentos Stripe e cancelar assinaturas.
A vulnerabilidade, que afeta versões de 1.8.4 até, e incluindo, 1.9.2.1, foi resolvida nas versões 1.9.2.2 ou posteriores.
O plugin está instalado em mais de 6 milhões de sites WordPress.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...