Një e metë serioze sigurie u identifikua kohët e fundit në shtojcën Hunk Companion për WordPress, e përdorur në mbi 10,000 faqe interneti. Dobësia është etiketuar CVE-2024-11972 dhe i është caktuar një rezultat ashpërsie prej 9.8 nga 10 pasi lejon instalimin dhe aktivizimin e shtojcave arbitrare nëpërmjet kërkesave të paautentikuara, duke i ekspozuar faqet ndaj sulmeve të mundshme të ekzekutimit të kodit në distancë (RCE).
Dobësia u zbulua nga WPScan gjatë një analize të kryer në një rast të komprometimit të faqes së një klienti. Sulmuesit e shfrytëzuan problemin për të instaluar shtojcën WP Query Console, tashmë e vjetëruar dhe e pa përditësuar prej vitesh, e cila ka cenueshmërinë e saj kritike (CVE-2024-50498) me një rezultat maksimal të ashpërsisë prej 10. Në këtë mënyrë hakerët mund të ekzekutojnë kod te dëmshëm dhe të mbajnë akses të vazhdueshëm në faqet e komprometuara.
Shtojca Hunk Companion u përditësua në versionin 1.9.0 dy ditë më parë për të rregulluar problemin, por deri më tani duket se vetëm 16.5% e përdoruesve e kanë aplikuar këtë patch deri më tani, duke lënë rreth 8000 sajte ende të prekshme ndaj sulmeve. Një dobësi e ngjashme (CVE-2024-9707) u rregullua në një version të mëparshëm të shtojcës (1.8.5), por masat e marra rezultuan të pamjaftueshme.
Studiuesit e sigurisë theksojnë se kombinimi i faktorëve, duke përfshirë përdorimin e shtojcave që janë të vjetruara ose të hequra nga depoja zyrtare e WordPress, përforcojnë rrezikun që lidhet me këto sulme. Për më tepër, është e paqartë nëse mekanizmi që lejon shkarkimin e shtojcave të bllokuara është ende aktiv, duke ngritur më tej shqetësimet e sigurisë.
Administratorët e faqes WordPress këshillohen që të përditësojnë menjëherë shtojcën Hunk Companion në versionin 1.9.0 dhe të kontrollojnë për ndonjë shenjë kompromisi, si instalimi i paautorizuar i shtojcave ose skedarëve të dyshimtë në serverët e tyre.
Discussion about this post