Fout in WordPress Hunk Companion-plug-in misbruikt om stilletjes kwetsbare plug-ins te installeren

Kwaadwillige actoren maken misbruik van een kritieke kwetsbaarheid in de Hunk Companion-plug-in voor WordPress om andere kwetsbare plug-ins te installeren die de deur kunnen openen voor een verscheidenheid aan aanvallen.

De fout, bijgehouden als CVE-2024-11972 (CVSS-score: 9,8), treft alle versies van de plug-in vóór 1.9.0. De plug-in heeft meer dan 10.000 actieve installaties.

“Deze fout vormt een aanzienlijk veiligheidsrisico, omdat het aanvallers in staat stelt kwetsbare of gesloten plug-ins te installeren, die vervolgens kunnen worden misbruikt voor aanvallen zoals Remote Code Execution (RCE), SQL Injection, Cross-Site Scripting (XSS) of zelfs de het creëren van administratieve achterdeurtjes”, aldus WPScan in een rapport.

Tot overmaat van ramp kunnen aanvallers verouderde of verlaten plug-ins gebruiken om beveiligingsmaatregelen te omzeilen, met databaserecords te knoeien, kwaadaardige scripts uit te voeren en de controle over de sites over te nemen.

WPScan zei dat het het beveiligingsfout aan het licht bracht bij het analyseren van een infectie op een niet-gespecificeerde WordPress-site, waarbij werd vastgesteld dat bedreigingsactoren deze als wapen gebruikten om een ​​nu gesloten plug-in genaamd WP Query Console te installeren, en vervolgens gebruik te maken van een RCE-bug in de geïnstalleerde plug-in om kwaadaardige programma’s uit te voeren. PHP-code.

Het is vermeldenswaard dat de zero-day RCE-fout in de WP Query Console, bijgehouden als CVE-2024-50498 (CVSS-score: 10,0), nog steeds niet is verholpen.

CVE-2024-11972 is ook een patch-bypass voor CVE-2024-9707 (CVSS-score: 9,8), een soortgelijke kwetsbaarheid in Hunk Companion die de installatie of activering van ongeautoriseerde plug-ins mogelijk zou kunnen maken. Deze tekortkoming is verholpen in versie 1.8.5.

In de kern komt het voort uit een bug in het script “hunk-companion/import/app/app.php”, waarmee niet-geverifieerde verzoeken controles kunnen omzeilen die zijn ingesteld om te verifiëren of de huidige gebruiker toestemming heeft om plug-ins te installeren.

“Wat deze aanval bijzonder gevaarlijk maakt, is de combinatie van factoren: het benutten van een eerder gepatchte kwetsbaarheid in Hunk Companion om een ​​nu verwijderde plug-in te installeren met een bekende fout bij het uitvoeren van externe code”, merkte Daniel Rodriguez van WPScan op.

“De keten van uitbuiting onderstreept het belang van het beveiligen van elk onderdeel van een WordPress-site, vooral thema’s en plug-ins van derden, die kritische toegangspunten voor aanvallers kunnen worden.”

De ontwikkeling komt nadat Wordfence een zeer ernstige fout in de WPForms-plug-in heeft onthuld (CVE-2024-11205, CVSS-score: 8,5) die het voor geverifieerde aanvallers, met toegang op abonneeniveau of hoger, mogelijk maakt om Stripe-betalingen terug te betalen en abonnementen te annuleren. .

De kwetsbaarheid, die de versies 1.8.4 tot en met 1.9.2.1 treft, is opgelost in versies 1.9.2.2 of hoger. De plug-in is geïnstalleerd op meer dan 6 miljoen WordPress-sites.

Thijs Van der Does