Falha Crítica

Falha no plugin Hunk Companion do WordPress permite instalação de plugins vulneráveis

Vulnerabilidade no plugin Hunk Companion do WordPress permite a instalação de plugins vulneráveis. Atualize para a versão 1.9.0 imediatamente para garantir a segurança do seu site.

falha-xss-no-plugin-litespeed-cache-para-wordpress-coloca-sites-em-risco

Hackers estão explorando uma vulnerabilidade crítica no plugin “Hunk Companion” para instalar e ativar outros plugins com falhas exploráveis diretamente do repositório WordPress.org. Ao instalar plugins desatualizados com vulnerabilidades conhecidas e exploits disponíveis, os invasores podem acessar um grande conjunto de falhas que levam à execução remota de código (RCE), injeção de SQL, falhas de script entre sites (XSS) ou criar contas de administrador de backdoor.

Falha no plugin Hunk Companion do WordPress permite instalação de plugins vulneráveis

Imagem com a logomarca do WordPress com fundo vermelho

A atividade foi descoberta pelo WPScan, que relatou a falha ao Hunk Companion. A equipe do Hunk Companion lançou uma atualização de segurança abordando a falha de dia zero ontem.

Instalação de Plugins Vulneráveis

O Hunk Companion é um plugin do WordPress projetado para complementar e aprimorar a funcionalidade dos temas desenvolvidos pela ThemeHunk, uma fornecedora de temas personalizáveis para WordPress. Atualmente, o Hunk Companion é utilizado por mais de 10.000 sites WordPress, tornando-o uma ferramenta relativamente específica.

A vulnerabilidade crítica, descoberta pelo pesquisador do WPScan Daniel Rodriguez, é rastreada como CVE-2024-11972. A falha permite a instalação arbitrária de plugins por meio de solicitações POST não autenticadas. Todas as versões do Hunk Companion anteriores à versão 1.9.0, lançada ontem, são afetadas pelo problema.

Ao investigar uma infecção em um site WordPress, o WPScan descobriu uma exploração ativa do CVE-2024-11972 para instalar uma versão vulnerável do plugin WP Query Console. Este plugin, atualizado pela última vez há mais de sete anos, é explorado pelos hackers para executar código PHP malicioso nos sites visados, aproveitando a falha RCE de dia zero CVE-2024-50498.

Metodologia de Exploração

Nas infecções analisadas, os invasores usaram o RCE para gravar um dropper PHP no diretório raiz do site. Esse dropper permite uploads não autenticados contínuos por meio de solicitações GET, garantindo acesso persistente de backdoor ao site. É importante notar que o Hunk Companion já havia corrigido uma falha semelhante na versão 1.8.5, rastreada sob o CVE-2024-9707, mas o patch não foi adequado, e existem maneiras de contorná-lo.

Recomendações de Segurança

Dada a gravidade da falha e seu status de exploração ativa, recomenda-se que os usuários do Hunk Companion atualizem para a versão 1.9.0 o mais rápido possível. No momento em que este artigo foi escrito, a versão mais recente foi baixada cerca de 1.800 vezes, deixando cerca de oito mil sites ainda vulneráveis à exploração.

Acesse a versão completa
Sair da versão mobile