Специалисты по кибербезопасности зафиксировали активную эксплуатацию критической уязвимости в популярном WordPress-плагине Hunk Companion. Брешь в безопасности, получившая идентификатор CVE-2024-11972 и максимальную оценку опасности 9,8 баллов по шкале CVSS, позволяет злоумышленникам устанавливать вредоносные плагины на уязвимые сайты.
Масштаб угрозы и механизм атаки
Hunk Companion, установленный более чем на 10 000 сайтов, используется для расширения функционала тем от разработчика ThemeHunk. На момент обнаружения уязвимости около 9000 веб-ресурсов остаются под угрозой, поскольку только 12% пользователей установили исправленную версию 1.9.0.
Технические детали уязвимости
Уязвимость обнаружена в компоненте hunk-companion/import/app/app.php и позволяет неавторизованным пользователям обходить проверки прав доступа. Злоумышленники используют неаутентифицированные POST-запросы для установки вредоносных плагинов, что открывает путь к различным типам атак, включая удаленное выполнение кода (RCE), SQL-инъекции и межсайтовый скриптинг (XSS).
Цепочка атак и последствия
Исследователи WPScan документально подтвердили случаи, когда атакующие используют CVE-2024-11972 для установки устаревшего плагина WP Query Console. Этот плагин содержит критическую RCE-уязвимость (CVE-2024-50498, CVSS 10.0), которая затем эксплуатируется для выполнения вредоносного PHP-кода и получения полного контроля над сайтом.
Связь с предыдущими уязвимостями
Примечательно, что CVE-2024-11972 является результатом неполного исправления предыдущей уязвимости CVE-2024-9707, которая также имела критический уровень опасности 9,8 баллов. Это указывает на системные проблемы в процессе разработки и тестирования обновлений безопасности.
В связи с активной эксплуатацией уязвимости и серьезностью потенциальных последствий, администраторам сайтов на WordPress настоятельно рекомендуется немедленно обновить Hunk Companion до версии 1.9.0. Дополнительно следует провести аудит установленных плагинов на предмет несанкционированных изменений и присутствия подозрительного кода.
