Bilgisayar korsanları, doğrudan WordPress.org deposundan sömürülebilir kusurlarla diğer eklentileri yüklemek ve etkinleştirmek için "Hunk Companion" eklentisindeki kritik bir güvenlik açığından yararlanıyor.
Saldırganlar, mevcut istismarlarla bilinen güvenlik açıklarına sahip eski eklentiler kurarak, uzaktan kod yürütme (RCE), SQL enjeksiyonuna, siteler arası komut dosyası (XSS) kusurlarına yol açan büyük bir kusur havuzuna erişebilir veya arka kapı yönetici hesapları oluşturabilir.
Etkinlik, dün yayınlanan sıfır gün kusuruna hitap eden bir güvenlik güncellemesi ile Hunk Companion'a bildiren WPSCAN tarafından keşfedildi.
Hunk Companion, özelleştirilebilir WordPress temaları sağlayıcısı olan temaların işlevselliğini tamamlamak ve geliştirmek için tasarlanmış bir WordPress eklentisidir, bu nedenle bağımsız bir eklenti yerine daha çok bir eklentidir.
WordPress.org istatistiklerine göre, Hunk Companion şu anda 10.000'den fazla WordPress sitesi tarafından kullanılıyor, bu yüzden alanda nispeten bir niş aracı.
Kritik güvenlik açığı WPSCAN araştırmacısı Daniel Rodriguez tarafından keşfedildi ve CVE-2024-11972 olarak izlendi. Kusur, eklentilerin kimlik doğrulanmamış posta istekleri aracılığıyla keyfi kurulumuna izin verir.
Sorun, dün yayınlanan ve sorunu ele alan en son 1.9.0'dan önce Hunk Companion'un tüm versiyonlarını etkiler.
Bir WordPress sitesi enfeksiyonunu araştırırken, WPSCAN, WP sorgu konsolunun savunmasız bir sürümünü kurmak için CVE-2024-11972'nin aktif olarak sömürülmesini keşfetti.
Bu, Hacker'ların hedeflenen sitelerde kötü amaçlı PHP kodu yürütmek için sömürdüğü ve sıfır gün RCE Kusur CVE-2024-50498'den yararlanan en son 7 yıl önce güncellenen belirsiz bir eklentidir.
WPSCan, "Analiz ettiğimiz enfeksiyonlarda, saldırganlar RCE'yi sitenin kök dizinine bir PHP damlası yazmak için kullanıyorlar."
"Bu damlalık, Siteye kalıcı arka kapı erişimini sağlayarak GET talepleri aracılığıyla sürekli olmayan yüklemelerin devam etmesini sağlar."
CVE-2024-9707 kapsamında izlenen 1.8.5 sürümünde Hunk Companion'un benzer bir kusuru düzelttiğini belirtmek gerekir, ancak görünüşe göre yama yeterli değildi ve onu atlamanın yolları var.
Kusurun şiddeti ve aktif sömürü durumu göz önüne alındığında, Hunk Companion kullanıcılarının mümkün olan en kısa sürede 1.9.0'a güncellemeleri önerilir.
Yazma sırasında, en son sürüm yaklaşık 1.800 kez indirildi, bu nedenle en az sekiz bin web sitesi sömürüye karşı savunmasız kalıyor.
Veri hırsızlığı saldırılarında sömürülen yeni Cleo sıfır gün RCE kusuru
Milyonlarca WordPress sitesindeki güvenlik eklentisi kusuru, yönetici erişimi sağlar
Jetpack, 2016'dan beri var olan kritik bilgilerin açıklama kusurunu düzeltir
CISA, Fidye Yazılımı Saldırılarında Kritik Cleo Böcek Sömürüsünü onaylıyor
WPForms Hatası, milyonlarca WordPress sitesinde şerit geri ödemelerine izin verir
Kaynak: Bleeping Computer