Bilgisayar korsanları, 150.000’den fazla web sitesinde bulunan Modern Events Calendar WordPress eklentisindeki bir güvenlik açığından yararlanarak, güvenlik açığı bulunan bir siteye rastgele dosyalar yüklemeye ve uzaktan kod çalıştırmaya çalışıyor.
Eklenti Webnus tarafından geliştirildi ve yüz yüze, sanal veya karma etkinlikleri düzenlemek ve yönetmek için kullanılıyor.
Saldırılarda istismar edilen güvenlik açığı CVE-2024-5441 olarak tanımlandı ve yüksek önem puanı (CVSS v3.1: 8.8) aldı. Friderika Baranyai tarafından Wordfence’in Hata Ödülü Ekstravaganzası sırasında 20 Mayıs’ta keşfedildi ve sorumlu bir şekilde bildirildi.
Wordfence, güvenlik sorununu açıklayan bir raporda, güvenlik sorununun eklentinin etkinlikler için öne çıkan görselleri yüklemek ve ayarlamak için kullanılan ‘set_featured_image’ işlevinde dosya türü doğrulamasının eksikliğinden kaynaklandığını söylüyor.
Fonksiyon bir resim URL’si ve gönderi kimliği alır, ek kimliğini almaya çalışır ve bulunamazsa, resmi kullanarak indirir web_sayfasını_al işlev.
Görüntüyü kullanarak alır wp_uzaktan_al veya dosya_içerikleri_alve bunu WordPress yükleme dizinine kullanarak kaydeder dosya_koy_içerikleri işlev.
Modern Etkinlik Takvimi’nin 7.11.0’a kadar olan sürümlerinde yüklenen resim dosyalarında dosya türü ve uzantı kontrolü yoktur ve riskli .PHP dosyaları da dahil olmak üzere her türlü dosya türünün yüklenmesine izin verilmektedir.
Bu dosyalar yüklendikten sonra erişilebilir ve çalıştırılabilir, böylece sunucuda uzaktan kod çalıştırılabilir ve potansiyel olarak web sitesinin tamamen ele geçirilmesi sağlanabilir.
Aboneler ve kayıtlı üyeler dahil olmak üzere kimliği doğrulanmış herhangi bir kullanıcı CVE-2024-5441’i kullanabilir.
Eklenti, üye olmayanların (hesabı olmayan ziyaretçilerin) etkinlik gönderimlerine izin verecek şekilde ayarlanmışsa, CVE-2024-5441 kimlik doğrulaması olmadan kullanılabilir.
Webnus, siber saldırı riskini önlemek için önerilen yükseltme olan Modern Etkinlik Takvimi’nin 7.12.0 sürümünü yayınlayarak dün bu güvenlik açığını giderdi.
Ancak Wordfence, bilgisayar korsanlarının bu sorunu fırsat bilerek saldırı düzenlemeye çalıştığını ve 24 saat içinde 100’den fazla girişimi engellediklerini bildiriyor.
Devam eden istismar çabaları göz önüne alındığında, Modern Events Calendar ve Modern Events Calendar Lite (ücretsiz sürüm) kullanıcıları mümkün olan en kısa sürede en son sürüme yükseltmeli veya güncellemeyi gerçekleştirebilene kadar eklentiyi devre dışı bırakmalıdır.