Eine kritische Schwachstelle im Hunk Companion Plugin (< 1.9.0) ermöglicht es nicht authentifizierten Angreifern, POST-Anfragen zu stellen, die Plugins direkt aus dem WordPress.org-Repository installieren und aktivieren. Diese Sicherheitslücke erlaubt die Installation von anfälligen oder bereits entfernten Plugins, die anschließend für schwerwiegende Angriffe wie Remote Code Execution (RCE), SQL-Injection, Cross-Site Scripting (XSS) oder die Erstellung von Backdoors ausgenutzt werden können.
Die Schwachstelle wurde bereits aktiv in realen Umgebungen ausgenutzt. Bedrohungsakteure nutzten diese Lücke in Kombination mit Schwachstellen in bereits installierten Plugins, wie z. B. WP Query Console, um WordPress-Websites zu kompromittieren. Die Angriffskette umfasst die Installation von WP Query Console, gefolgt von der Ausnutzung von dessen RCE-Schwachstelle, um beliebigen PHP-Code auszuführen, was weitere Exploits und die Aufrechterhaltung des Zugriffs ermöglicht.
| Produkt | hunk-companion |
| Datum | 16.12.2024 13:59:35 |
| Informationen |
|
Technische Zusammenfassung
CVE-ID: CVE-2024-11972
Betroffenes Plugin: Hunk Companion (< 1.9.0)
Schweregrad (CVSS v3.1): 9.8 (Kritisch)
Die Schwachstelle liegt im Endpunkt themehunk-import, der im Hunk Companion Plugin definiert ist. Aufgrund einer fehlerhaften Implementierung der permission_callback-Funktion im REST-API-Handler umgehen nicht authentifizierte Anfragen die Autorisierungsprüfungen. Dadurch wird die Funktion tp_install innerhalb des Plugins aufgerufen, die das Herunterladen und Aktivieren von Plugins ermöglicht, einschließlich solcher, die auf WordPress.org als geschlossen oder anfällig markiert sind.
Die in realen Umgebungen beobachtete Ausnutzung folgt dieser Sequenz:
- Installation und Aktivierung von WP Query Console: Angreifer nutzen die Schwachstelle in Hunk Companion aus, um WP Query Console zu installieren und zu aktivieren – ein Plugin mit einer ungepatchten RCE-Schwachstelle.
- Remote Code Execution: Über WP Query Console führen die Angreifer beliebigen PHP-Code aus, um schädliche Droplets im Stammverzeichnis der Website zu platzieren, was einen dauerhaften Zugriff über nicht authentifizierte GET-Anfragen ermöglicht.
Diese Angriffskette setzt über 10.000 Websites, die das Hunk Companion Plugin verwenden, erheblichen Risiken aus, einschließlich der vollständigen Kompromittierung der Website, Datendiebstahl und der möglichen Verbreitung von Malware.
Empfehlungen
Sofortiges Update: Aktualisieren Sie auf Version 1.9.0 oder höher von Hunk Companion. Diese Version behebt die Schwachstelle durch eine korrekte Implementierung des permission_callback.
[Callforaction-THREAT-Footer]
Leave a Reply