Hackers estão explorando uma vulnerabilidade crítica no plugin “Hunk Companion” para instalar e ativar outros plugins com falhas exploráveis diretamente do repositório WordPress.org. Ao instalar plugins desatualizados com vulnerabilidades conhecidas e exploits disponíveis, os invasores podem acessar um grande conjunto de falhas que levam à execução remota de código (RCE), injeção de SQL, falhas de script entre sites (XSS) ou criar contas de administrador de backdoor.
Falha no plugin Hunk Companion do WordPress permite instalação de plugins vulneráveis
A atividade foi descoberta pelo WPScan, que relatou a falha ao Hunk Companion. A equipe do Hunk Companion lançou uma atualização de segurança abordando a falha de dia zero ontem.
Instalação de Plugins Vulneráveis
O Hunk Companion é um plugin do WordPress projetado para complementar e aprimorar a funcionalidade dos temas desenvolvidos pela ThemeHunk, uma fornecedora de temas personalizáveis para WordPress. Atualmente, o Hunk Companion é utilizado por mais de 10.000 sites WordPress, tornando-o uma ferramenta relativamente específica.
A vulnerabilidade crítica, descoberta pelo pesquisador do WPScan Daniel Rodriguez, é rastreada como CVE-2024-11972. A falha permite a instalação arbitrária de plugins por meio de solicitações POST não autenticadas. Todas as versões do Hunk Companion anteriores à versão 1.9.0, lançada ontem, são afetadas pelo problema.
Notícias Relacionadas
Falha exposta
Vulnerabilidades expostas em DeepSeek e Claude AI podem facilitar ataques cibernéticos
Pesquisadores identificaram falhas no DeepSeek e Claude AI que permitem ataques via injeção rápida. Explorações incluem roubo de dados, controle de contas e execução de comandos maliciosos.
Segurança cibernética
Falhas críticas no Zyxel, ProjectSend e CyberPanel alertam para ataques ativos
CISA alerta para exploração ativa de falhas graves em Zyxel, ProjectSend e CyberPanel. Vulnerabilidades já estão sendo usadas em ataques, incluindo ransomware.
Ao investigar uma infecção em um site WordPress, o WPScan descobriu uma exploração ativa do CVE-2024-11972 para instalar uma versão vulnerável do plugin WP Query Console. Este plugin, atualizado pela última vez há mais de sete anos, é explorado pelos hackers para executar código PHP malicioso nos sites visados, aproveitando a falha RCE de dia zero CVE-2024-50498.
Metodologia de Exploração
Nas infecções analisadas, os invasores usaram o RCE para gravar um dropper PHP no diretório raiz do site. Esse dropper permite uploads não autenticados contínuos por meio de solicitações GET, garantindo acesso persistente de backdoor ao site. É importante notar que o Hunk Companion já havia corrigido uma falha semelhante na versão 1.8.5, rastreada sob o CVE-2024-9707, mas o patch não foi adequado, e existem maneiras de contorná-lo.
Recomendações de Segurança
Dada a gravidade da falha e seu status de exploração ativa, recomenda-se que os usuários do Hunk Companion atualizem para a versão 1.9.0 o mais rápido possível. No momento em que este artigo foi escrito, a versão mais recente foi baixada cerca de 1.800 vezes, deixando cerca de oito mil sites ainda vulneráveis à exploração.
