Grave vulnerabilità per Hunk Companion, plugin Wordpress installato su oltre 10 mila siti web

Grave vulnerabilità per Hunk Companion, plugin Wordpress installato su oltre 10 mila siti web

La falla, con un punteggio di gravità estremamente elevato, consente di installare altri plugin non autorizzati che possono portare all'esecuzione di codice remoto

di pubblicata il , alle 10:21 nel canale Sicurezza
WordPress
 

Un grave problema di sicurezza è stato recentemente individuato nel plugin Hunk Companion per WordPress, utilizzato su oltre 10 mila siti web. La vulnerabilità è stata contrassegnata con il codice CVE-2024-11972 e gli è stato assegnato un punteggio di gravità di 9,8 su 10 in quanto permette l'installazione e l'attivazione di plugin arbitrari tramite richieste non autenticate, esponendo i siti a potenziali attacchi di esecuzione di codice remoto (RCE).

La vulnerabilità è stata scoperta da WPScan durante un'attività di analisi effettuata su un caso di compromissione del sito di un cliente. Gli attaccanti hanno sfruttato il problema per installare il plugin WP Query Console, ormai obsoleto e non aggiornato da anni, che presenta una propria vulnerabilità critica (CVE-2024-50498) con un punteggio di gravità massimo di 10. In questo modo gli hacker hanno potuto eseguire codice dannoso e mantenere la persistenza dell'accesso ai siti compromessi.

Il plugin Hunk Companion è stato aggiornato alla versione 1.9.0 due giorni fa per risolvere il problema, ma al momento risulta che solamente il 16,5% degli utenti ha finora applicato la patch, lasciando ancora più di 8000 siti circa vulnerabili agli attacchi. Una vulnerabilità simile (CVE-2024-9707) era stata corretta in una versione precedente del plugin (1.8.5), ma le misure adottate si sono rivelate insufficienti.

I ricercatori di sicurezza sottolineano che la combinazione di fattori, tra cui l'uso di plugin non aggiornati o rimossi dal repository ufficiale di WordPress, amplifica il rischio associato a questi attacchi. Inoltre, non è chiaro se il meccanismo che consente il download di plugin bloccati sia ancora attivo, aumentando ulteriormente le preoccupazioni sulla sicurezza.

Gli amministratori dei siti WordPress sono invitati ad aggiornare immediatamente il plugin Hunk Companion alla versione 1.9.0 e a verificare eventuali segni di compromissione, come l'installazione non autorizzata di plugin o file sospetti nei loro server.

I migliori sconti su Amazon oggi
-20%

Amazfit Active 2 Smart Watch 44mm, AI, Controllo Vocale, GPS e Mappe incluse, Batteria da 10 Giorni, 160+ Modalità Sportive, Resistente allAcqua 5 ATM per Android e iPhone, Nero

99.90 79.90 Compra ora
-37%

Amazfit Bip 5, 46 mm, Smartwatch, Schermo grande, chiamate Bluetooth, Alexa, GPS, durata della batteria di 10 giorni, fitness tracker con frequenza cardiaca, monitoraggio dell'ossigeno nel sangue

89.90 56.90 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^