Hackerii încearcă să exploateze o vulnerabilitate în pluginul WordPress Modern Events Calendar, prezent pe mai mult de 150.000 de site-uri, pentru a încărca fișiere arbitrare pe un site vulnerabil și a executa cod în mod remote.
Pluginul este dezvoltat de Webnus și este folosit pentru organizarea și gestionarea evenimentelor în persoană, virtuale sau hibride.
Vulnerabilitatea exploatată în atacuri este identificată ca CVE-2024-5441 și a primit un scor de severitate ridicat (CVSS v3.1: 8.8). A fost descoperită și raportată responsabil pe 20 mai de către Friderika Baranyai în cadrul Bug Bounty Extravaganza de la Wordfence.
Într-un raport care descrie problema de securitate, Wordfence menționează că problema de securitate provine din lipsa validării tipului de fișier în funcția ‘set_featured_image’ a pluginului, folosită pentru încărcarea și setarea imaginilor recomandate pentru evenimente.
Funcția primește un URL de imagine și un ID de postare, încearcă să obțină ID-ul atașamentului și, dacă nu-l găsește, descarcă imaginea folosind funcția ‘get_web_page’.
Se recuperează imaginea folosind ‘wp_remote_get’ sau ‘file_get_contents’ și se salvează în directorul de încărcări WordPress folosind funcția ‘file_put_contents’.
Versiunile Modern Event Calendar până la și inclusiv 7.11.0 nu au verificări pentru tipul sau extensia fișierelor de imagine încărcate, permițând încărcarea oricărui tip de fișier, inclusiv fișiere riscante .PHP.
Odată încărcate, aceste fișiere pot fi accesate și executate, permițând execuția de cod în mod remote pe server și posibil conducând la preluarea completă a site-ului web.
Orice utilizator autentificat, inclusiv abonații și orice membri înregistrați, pot exploata CVE-2024-5441.
Dacă pluginul este setat pentru a permite trimiterea evenimentelor de către non-membri (vizitatori fără conturi), CVE-2024-5441 poate fi exploatabil fără autentificare.
Webnus a remediat vulnerabilitatea ieri, lansând versiunea 7.12.0 a Modern Event Calendar, care este actualizarea recomandată pentru a evita riscul unui atac cibernetic.
Cu toate acestea, Wordfence raportează că hackerii încearcă deja să profite de problema în atacuri, blocând peste 100 de încercări în 24 de ore.
Dat fiind eforturile continue de exploatare, utilizatorii Modern Events Calendar și Modern Events Calendar Lite (versiunea gratuită) ar trebui să facă upgrade la cea mai recentă versiune cât mai curând posibil sau să dezactiveze pluginul până când pot efectua actualizarea.
Un bug RCE în biblioteca Ghostscript larg folosită este acum exploatat în atacuri
Hackerii vizează noua vulnerabilitate critică de bypassare a autentificării în MOVEit Transfer
Modulul Facebook PrestaShop este exploatat pentru a fura carduri de credit
Defectul de traversare a căilor SolarWinds Serv-U este activ exploatat în atacuri
Banda de ransomware Black Basta legată de atacuri zero-day Windows
Leave a Reply