Pelaku kejahatan mengeksploitasi kerentanan kritis pada plugin Hunk Companion untuk WordPress untuk menginstal plugin rentan lainnya yang dapat membuka pintu bagi berbagai serangan.
Cacatnya, yang dilacak sebagai CVE-2024-11972 (skor CVSS: 9.8), memengaruhi semua versi plugin sebelum 1.9.0. Plugin ini memiliki lebih dari 10.000 instalasi aktif.
“Kelemahan ini menimbulkan risiko keamanan yang signifikan, karena memungkinkan penyerang memasang plugin yang rentan atau tertutup, yang kemudian dapat dieksploitasi untuk serangan seperti Remote Code Execution (RCE), SQL Injection, Cross‑Site Scripting (XSS), atau bahkan pembuatan pintu belakang administratif,” kata WPScan dalam sebuah laporan.
Lebih buruk lagi, penyerang dapat memanfaatkan plugin yang sudah usang atau ditinggalkan untuk menghindari tindakan keamanan, merusak catatan database, mengeksekusi skrip berbahaya, dan mengambil kendali atas situs.
WPScan mengatakan pihaknya menemukan kelemahan keamanan ketika menganalisis infeksi pada situs WordPress yang tidak ditentukan, menemukan bahwa pelaku ancaman menggunakannya untuk menginstal plugin yang sekarang ditutup bernama WP Query Console, dan kemudian memanfaatkan bug RCE di plugin yang diinstal untuk mengeksekusi malware. kode PHP.
Perlu dicatat bahwa kelemahan RCE zero-day di WP Query Console, yang dilacak sebagai CVE-2024-50498 (skor CVSS: 10.0), masih belum ditambal.
CVE-2024-11972 juga merupakan bypass patch untuk CVE‑2024‑9707 (skor CVSS: 9.8), kerentanan serupa di Hunk Companion yang dapat mengaktifkan instalasi atau aktivasi plugin yang tidak sah. Kekurangan ini telah diatasi di versi 1.8.5.
Pada intinya, ini berasal dari bug dalam skrip “hunk‑companion/import/app/app.php” yang memungkinkan permintaan yang tidak diautentikasi untuk melewati pemeriksaan yang dilakukan untuk memverifikasi apakah pengguna saat ini memiliki izin untuk menginstal plugin.
“Apa yang membuat serangan ini sangat berbahaya adalah kombinasi beberapa faktor – memanfaatkan kerentanan yang sebelumnya telah ditambal di Hunk Companion untuk menginstal plugin yang sekarang telah dihapus dengan kelemahan Eksekusi Kode Jarak Jauh yang diketahui,” kata Daniel Rodriguez dari WPScan.
“Rantai eksploitasi menggarisbawahi pentingnya mengamankan setiap komponen situs WordPress, terutama tema dan plugin pihak ketiga, yang dapat menjadi titik masuk penting bagi penyerang.”
Perkembangan ini terjadi ketika Wordfence mengungkapkan kelemahan tingkat tinggi pada plugin WPForms (CVE-2024-11205, skor CVSS: 8.5) yang memungkinkan penyerang terautentikasi, dengan akses tingkat Pelanggan ke atas, untuk mengembalikan pembayaran Stripe dan membatalkan langganan .
Kerentanan, yang memengaruhi versi 1.8.4 hingga, dan termasuk, 1.9.2.1, telah diatasi di versi 1.9.2.2 atau lebih baru. Plugin ini diinstal di lebih dari 6 juta situs WordPress.
