Про уязвимость Authentication Bypass - Hunk Companion WordPress plugin (CVE-2024-11972). Компания ThemeHunk разрабатывает коммерческие темы для WordPress CMS. А плагин Hunk Companion предназначен для дополнения и расширения функциональности этих тем. У плагина более 10 000 установок.
10 декабря вышел бюллетень от WPScan с описанием уязвимости в версиях Hunk Companion plugin 1.9.0. Уязвимость позволяет неаутентифицированному атакующему устанавливать и активировать на сайте произвольные плагины из репозитория WordPressOrg. Эксплойт доступен на GitHub с 28 декабря. Несанкционированная установка плагинов опасна тем, что устанавливаемые плагины могут содержать свои уязвимости. 👾 Так в инциденте, зафиксированном WPScan, злоумышленники установили на сайте плагин WP Query Console с RCE уязвимостью CVE‑2024‑50498 и проэксплуатировали её для установки бэкдора.
Если вы используете WordPress, старайтесь минимизировать количество плагинов и регулярно их обновляйте!
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.