- Investigadores de WPScan descubrieron una falla en Hunk Companion, un complemento con casi 10.000 usuarios
- La falla permite a los estafadores instalar otros complementos desde el repositorio de WP, incluidos aquellos con fallas conocidas de RCE
- WPScan descubrió la falla mientras investigaba un ataque activo
Según se informa, los piratas informáticos han encontrado una manera de instalar complementos obsoletos, obsoletos y vulnerables en sitios web de WordPress directamente desde el sitio de WordPress complemento de WordPress almacén. De esta manera, pueden introducir vulnerabilidades en sitios web creados utilizando Creador de sitios webque les brinda capacidades de ejecución remota de código (RCE), inyección SQL, secuencias de comandos entre sitios (XSS), creación de cuentas de administrador y más.
El error que permite a los estafadores hacer esto se encontró en Hunk Companion, un complemento diseñado para mejorar la funcionalidad WordPress Temas desarrollados por ThemeHunk.
Por lo general, proporciona funciones como widgets adicionales, opciones de personalización y funcionalidad de importación de contenido de demostración. A menudo sirve como complemento de los temas de ThemeHunk y desbloquea funciones avanzadas de diseño y usabilidad que no están disponibles de forma predeterminada.
Vulnerabilidad crítica
Los investigadores de WPScan descubrieron la falla y la informaron a los desarrolladores del complemento, quienes regresaron con una solución en cuestión de días.
Mientras investigaba un ciberataque denunciado, WPScan descubrió que un actor de amenazas abusó de la falla para instalar una versión vulnerable de WP Query Console, un complemento que no había sido parcheado en siete años. Se sabe que este complemento tiene fallas, lo que permite a los estafadores ejecutar código PHP malicioso en sitios específicos a través de un error de ejecución remota de código rastreado como CVE-2024-50498.
Hunk Companion es utilizado actualmente por más de 10.000 sitios web, lo que no es un número impresionante en el mundo de los sitios web de WordPress, pero tampoco es insignificante.
El error utilizado para instalar los complementos defectuosos se rastrea como CVE-2024-11972 y tiene una puntuación de gravedad de 9,1 (crítico). La versión anterior discutida es 1.9.0 y se recomienda a los usuarios que la instalen lo antes posible. pitidocomputadora También noté que se solucionó un error similar en Hunk Companion 1.8.5, que fue rastreado como CVE-2024-9707. Parece que el parche no funcionó como se esperaba, ya que existen soluciones obvias.
Al momento de escribir este artículo, el 11,6% de los usuarios han actualizado a la versión 1.9, lo que significa que aproximadamente 8.800 sitios siguen siendo vulnerables.
a través de pitidocomputadora