Kötü niyetli aktörler, çeşitli saldırılara kapı açabilecek diğer savunmasız eklentileri yüklemek için WordPress için Hunk Companion eklentisindeki kritik bir güvenlik açığından yararlanıyor.
CVE-2024-11972 (CVSS puanı: 9,8) olarak takip edilen kusur, eklentinin 1.9.0’dan önceki tüm sürümlerini etkiliyor. Eklentinin 10.000’den fazla aktif kurulumu var.
“Bu kusur, saldırganların savunmasız veya kapalı eklentiler yüklemesine olanak tanıdığından önemli bir güvenlik riski oluşturuyor; bu eklentiler daha sonra Uzaktan Kod Yürütme (RCE), SQL Enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS) ve hatta WPScan bir raporda “idari arka kapıların yaratılması” dedi.
Daha da kötüsü, saldırganlar güvenlik önlemlerini aşmak, veritabanı kayıtlarını değiştirmek, kötü amaçlı komut dosyaları yürütmek ve sitelerin kontrolünü ele geçirmek için güncelliğini kaybetmiş veya terk edilmiş eklentilerden yararlanabilir.
WPScan, belirtilmemiş bir WordPress sitesindeki bir enfeksiyonu analiz ederken güvenlik kusurunu ortaya çıkardığını, tehdit aktörlerinin WP Sorgu Konsolu adı verilen artık kapalı bir eklentiyi yüklemek için bunu silah haline getirdiğini ve ardından kötü amaçlı yazılım yürütmek için yüklü eklentideki bir RCE hatasından yararlandığını tespit ettiğini söyledi. PHP kodu.
WP Sorgu Konsolu’ndaki CVE-2024-50498 (CVSS puanı: 10,0) olarak takip edilen sıfır gün RCE kusurunun yama yapılmadan kaldığını belirtmekte fayda var.
CVE-2024-11972 aynı zamanda CVE‑2024‑9707 (CVSS puanı: 9,8) için bir yama atlaması olup, Hunk Companion’da yetkisiz eklentilerin kurulmasına veya etkinleştirilmesine olanak sağlayabilecek benzer bir güvenlik açığıdır. Bu eksiklik 1.8.5 sürümünde giderildi.
Özünde, “hunk-companion/import/app/app.php” komut dosyasındaki, kimliği doğrulanmamış isteklerin mevcut kullanıcının eklenti yükleme iznine sahip olup olmadığını doğrulamak için uygulanan kontrolleri atlamasına izin veren bir hatadan kaynaklanıyor.
WPScan’den Daniel Rodriguez, “Bu saldırıyı özellikle tehlikeli yapan şey, faktörlerin birleşimidir – Hunk Companion’da önceden yamalanmış bir güvenlik açığından yararlanarak, bilinen bir Uzaktan Kod Yürütme kusuruna sahip, şimdi kaldırılmış bir eklentiyi yüklemektir.” dedi.
“Kötüye kullanım zinciri, bir WordPress sitesinin her bileşeninin, özellikle de saldırganlar için kritik giriş noktaları haline gelebilecek üçüncü taraf temaları ve eklentilerinin güvenliğinin sağlanmasının öneminin altını çiziyor.”
Bu gelişme, Wordfence’in WPForms eklentisinde (CVE-2024-11205, CVSS puanı: 8,5) Abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların Stripe ödemelerini iade etmesini ve abonelikleri iptal etmesini mümkün kılan yüksek önemdeki bir kusuru açıklamasının ardından geldi. .
1.8.4’ten 1.9.2.1’e kadar (1.9.2.1 dahil) sürümleri etkileyen güvenlik açığı, 1.9.2.2 veya sonraki sürümlerde giderilmiştir. Eklenti 6 milyondan fazla WordPress sitesine kuruludur.