Daniel Rodriguez

**Nome do software vulnerável e versões afetadas** Versões do plugin Hunk Companion para WordPress anteriores à 1.9.0 **Descrição** O plugin Hunk Companion para WordPress não autoriza adequadamente determinados pontos de extremidade da API REST, permitindo que solicitações não autenticadas instalem e ativem plugins arbitrários do repositório do WordPress.org, incluindo plugins vulneráveis. Esta vulnerabilidade está sendo ativamente explorada, afetando mais de 10.000 sites. A exploração bem-sucedida pode levar à execução remota de código (RCE), injeção de SQL e backdoors administrativos. A vulnerabilidade permite que invasores instalem plugins vulneráveis silenciosamente. Os pontos de extremidade da API vulneráveis não são explicitamente especificados, mas a vulnerabilidade está relacionada à autorização de solicitações para instalar plugins. **Recomendações** Atualize o plugin Hunk Companion para WordPress para a versão 1.9.0 ou posterior.