Тысячи сайтов на системе управления контентом WordPress являются в данный момент незащищёнными от критической уязвимости в популярном плагине. Эта уязвимость уже была активно задействована в атаках, позволяющих произвести неавторизованное выполнение вредоносного кода, сообщили специалисты по безопасности.
Уязвимость CVE-2024-11972 обнаружена в плагине Hunk Companion, который установлен на 10000 сайтах на WordPress. Ей присвоен рейтинг серьёзности 9.8 из 10. Обновление плагина было выпущено ранее на этой неделе. На момент публикации поста данные на странице Hunk Companion показывали, что обновились менее 12% пользователей. Это означает, что почти 9000 сайтов могут стать следующими целями для атак.
«Эта уязвимость представляет собой серьёзную и многогранную угрозу, нацеленную на сайты, использующие как тему ThemeHunk, так и плагин Hunk Companion», — написал Даниэль Родригес, исследователь из компании WP Scan, занимающейся безопасностью WordPress. «С более чем 10000 активных установок это подвергает тысячи веб-сайтов риску атак анонимных неавторизованных злоумышленников, способных серьёзно подорвать их целостность».
Родригес сообщил, что WP Scan обнаружила уязвимость при анализе взлома сайта клиента. Компания выяснила, что исходным вектором атаки была уязвимость CVE-2024-11972. Эксплойт позволил хакерам заставить уязвимые сайты автоматически перейти на wordpress.org и загрузить WP Query Console, много лет не обновлявшийся плагин.
Затем злоумышленники использовали уязвимость в этом плагине, которая позволила им выполнить вредоносный код. Уязвимость CVE-2024-50498 в WP Query Console имеет максимальный рейтинг серьёзности 10 и остаётся не исправленной.
На странице WP Query Console на wordpress.org говорится, что плагин был временно недоступен с октября, ожидая проверки. Однако хакеры смогли заставить свой эксплойт скачать устаревший WP Query Console, потому что они использовали специальный URL wordpress.org, который обошёл блокировку. Родригес сказал, что уязвимость возникла из-за ошибки в коде Hunk Companion, которая позволила «неавторизованным запросам обходить предусмотренные проверки», что привело к «установке и активации произвольных плагинов».
Уязвимость в Hunk Companion была исправлена в версии 1.9.0. Разработчики Hunk Companion устранили похожую уязвимость с выпуском версии 1.8.5. Ранее уязвимость отслеживалась как CVE-2024-9707 и также имела рейтинг серьёзности 9.8.
Как было указано ранее, на странице этого плагина говорилось, что только 11.9% сайтов, использующих этот плагин, установили обновление. Неясно, сохраняется ли возможность использования специального URL wordpress.org для загрузки плагинов, которые в противном случае были бы заблокированы. Если это так, все не обновившиеся сайты остаются уязвимыми к тем же эксплойтам.
