Критична уязвимост на плъгин за WordPress застрашава хиляди сайтове. За това предупреждават учени в сферата на сигурността, като пропускът вече се използва активно при хакерски атаки.
Уязвимостта (CVE-2024-11972), е открита в Hunk Companion, плъгин, който работи на 10 000 сайта, използващи системата за управление на съдържанието WordPress. Тя е с оценка за опасност 9.8 от 10 възможни и беше отстранена по-рано тази седмица. Все още обаче малко потребители са инсталирали поправката, което означава, че сайтовете им все още могат да бъдат обект на атака.
От WP Scan, които разкриват повече данни за уязвимостта посочват, че тя представлява значителна и многостранна заплаха, насочена към сайтове, които използват както темата ThemeHunk, така и плъгина Hunk Companion. Макар 10 000 да не е голяма цифра на фона на всички сайтове използващи WordPress, те все пак могат да се използват от много потребители. Пропускът позволява осъществяването на атаки, способни сериозно да компрометират цялостта на сайтовете.
WP Scan са открили уязвимостта, докато са анализирали компрометирането на сайт на клиент. Фирмата е установила, че първоначалният вектор е бил CVE-2024-11972. Използването на уязвимостта е позволило на хакерите, стоящи зад атаката, да накарат уязвимите сайтове автоматично да преминат към wordpress.org и да изтеглят WP Query Console, плъгин, който не е актуализиран от години.
След това нападателите са използвали уязвимост в него, която им е позволила да изпълнят зловреден код. Уязвимостта на WP Query Console, проследена като CVE-2024-50498, носи оценка за сериозност 10 и остава непоправена. На страницата WP Query Scan на wordpress.org се казва, че плъгинът е направен временно недостъпен от октомври в очакване на преглед. Хакерите, които стоят зад атаките, все пак са успели да използват своя експлойт, за да изтеглят стария от години плъгин WP Query Console, тъй като са използвали специален URL адрес на wordpress.org, който е преодолял блокирането.
Уязвимостта произтича от недостатък в кода на Hunk Companion, който позволява неоторизирани заявки да заобикалят предвидените проверки, което води до инсталиране и активиране на произволни плъгини. Пропускът на Hunk Companion е поправена във версия 1.9.0.
Няма да изненадаме никого с препоръката си за своевременно инсталиране на плъгините, които използвате за своите сайтове. Това е на фона и на нуждата от бърза актуализация и за всички софтуерни продукти, които използвате.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари