Bilgisayar korsanları, keyfi bir siteye keyfi bir siteye yüklemek ve kod uzaktan yürütmek için 150.000'den fazla web sitesinde bulunan modern etkinlik takvimi WordPress eklentisinde bir güvenlik açığından yararlanmaya çalışıyor.
Eklenti Webnus tarafından geliştirilmiştir ve yüz yüze, sanal veya hibrit olayları organize etmek ve yönetmek için kullanılır.
Saldırılarda sömürülen güvenlik açığı CVE-2024-5441 olarak tanımlanır ve yüksek şiddetli bir puan aldı (CVSS v3.1: 8.8). 20 Mayıs'ta Friderika Baranyai tarafından WordFence'ın Bug Bounty Extravaganza sırasında keşfedildi ve bildirildi.
Güvenlik sorununu açıklayan bir raporda, WordFence, güvenlik sorununun, eklentinin "Set_Featured_Image" işlevinde, etkinlikler için özellikli resimleri yüklemek ve ayarlamak için kullanılan bir dosya türü doğrulama eksikliğinden kaynaklandığını söylüyor.
İşlev bir görüntü URL'si ve posta kimliği alır, ek kimliğini almaya çalışır ve bulunmazsa, Get_web_Page işlevini kullanarak görüntüyü indirir.
Görüntüyü wp_remote_get veya file_get_contents kullanarak alır ve FILE_PUT_CONTENTS işlevini kullanarak WordPress Yükleme Dizini'ne kaydeder.
7.11.0'a kadar olan ve dahil olmak üzere modern etkinlik takvimi sürümleri, yüklenen görüntü dosyalarındaki dosya türü için kontrol yoktur ve riskli .php dosyaları da dahil olmak üzere herhangi bir dosya türünün yüklenmesine izin verir.
Yüklendikten sonra, bu dosyalara erişilebilir ve yürütülebilir, sunucuda uzaktan kod yürütülmesini sağlar ve potansiyel olarak web sitesinin devralınmasına yol açar.
Aboneler ve kayıtlı üyeler dahil olmak üzere kimlik doğrulamalı kullanıcılar CVE-2024-5441'den yararlanabilir.
Eklenti, üye olmayanlardan (hesapsız ziyaretçiler) olay gönderimlerine izin verecek şekilde ayarlanmışsa, CVE-2024-5441 kimlik doğrulaması olmadan kullanılabilir.
Webnus, bir siber saldırı riskinden kaçınmak için önerilen yükseltme olan modern etkinlik takviminin 7.12.0 sürümünü yayınlayarak güvenlik açığını düzeltti.
Bununla birlikte, WordFence, bilgisayar korsanlarının saldırılardaki sorunu zaten kullanmaya çalıştıklarını ve 24 saat içinde 100'den fazla denemeyi engellediğini bildiriyor.
Devam eden sömürü çabaları göz önüne alındığında, Modern Etkinlik Takvimi ve Modern Etkinlikler Takvimi Lite (ücretsiz sürüm) kullanıcıları, en kısa sürede en kısa sürüme yükseltilmeli veya güncellemeyi gerçekleştirene kadar eklentiyi devre dışı bırakmalıdır.
Yaygın olarak kullanılan Ghostscript Kütüphanesinde RCE Bug şimdi saldırılarda sömürüldü
Bilgisayar korsanları yeni moveit transferi kritik kimyasal bypass hatasını hedef
Kredi Kartlarını Çalmak İçin Yardımcı Facebook Prestashop Modülü
Solarwinds Serv-U yolu geçiş kusuru aktif olarak saldırılarda sömürüldü
Windows sıfır gün saldırılarına bağlı Black Basta Fidye Yazılımı çetesi
Kaynak: Bleeping Computer