Una vulnerabilità critica nel plugin Hunk Companion (< 1.9.0) consente ad attaccanti non autenticati di effettuare richieste POST che installano e attivano plugin direttamente dal repository di WordPress.org. Questa falla permette l’installazione di plugin vulnerabili o rimossi, che possono essere successivamente sfruttati per attacchi gravi come Remote Code Execution (RCE), SQL Injection, Cross-Site Scripting (XSS), o la creazione di backdoor.
La vulnerabilità è stata attivamente sfruttata in ambienti reali. Gli attori della minaccia hanno utilizzato questa falla in combinazione con vulnerabilità presenti nei plugin installati, come WP Query Console, per compromettere siti WordPress. La catena d’attacco prevede l’installazione di WP Query Console seguita dallo sfruttamento della sua vulnerabilità RCE per eseguire codice PHP arbitrario, facilitando ulteriori exploit e persistenza.
| Prodotto | hunk-companion |
| Data | 2024-12-16 13:59:35 |
| Informazioni | Trending, Fix Available, Active Exploitation |
Riassunto tecnico
CVE-ID: CVE-2024-11972
Plugin interessato: Hunk Companion (< 1.9.0)
Gravità (CVSS v3.1): 9.8 (Critico)
La vulnerabilità risiede nell’endpoint themehunk-import definito nel plugin Hunk Companion. A causa di un’implementazione impropria della funzione permission_callback nel gestore REST API, le richieste non autenticate aggirano i controlli di autorizzazione. Viene quindi invocata la funzione tp_install all’interno del plugin, che facilita il download e l’attivazione di plugin, inclusi quelli contrassegnati come chiusi o vulnerabili su WordPress.org.
Lo sfruttamento osservato in ambienti reali segue questa sequenza:
- Installazione e attivazione di WP Query Console: Gli attaccanti sfruttano la vulnerabilità di Hunk Companion per installare e attivare WP Query Console, un plugin con una vulnerabilità RCE non corretta.
- Esecuzione di codice da remoto: Utilizzando WP Query Console, gli attaccanti eseguono codice PHP arbitrario per distribuire droplet dannosi nella directory root del sito, consentendo un accesso continuo tramite richieste GET non autenticate.
Questa catena d’attacco espone oltre 10.000 siti web che utilizzano il plugin Hunk Companion a rischi significativi, inclusa la compromissione del sito, furto di dati e possibile distribuzione di malware.
Raccomandazioni
Aggiornare immediatamente: aggiornare alla versione 1.9.0 o successiva di Hunk Companion, che corregge la vulnerabilità sistemando l’implementazione della permission_callback.