CVE-2024-9707

Plugin Hunk Companion para o WordPress, versões anteriores à 1.9.0

Versões do WP Query Console (versões afetadas não especificadas)

O plugin Hunk Companion para WordPress apresenta uma falha que permite a instalação e ativação não autorizadas de plugins. Isso se deve à ausência de uma verificação de permissão no endpoint da API /wp-json/hc/v1/themehunk-import. Invasores não autenticados podem explorar essa falha para instalar e ativar plugins arbitrários, o que pode levar à execução remota de código caso outro plugin vulnerável já esteja instalado. Campanhas recentes têm visado ativamente essa e outras vulnerabilidades em plugins do WordPress, com mais de 8,7 milhões de tentativas de exploração bloqueadas pelo Wordfence. Observou-se que invasores estão instalando plugins maliciosos por meio de plataformas como o GitHub. O plugin WP Query Console, que não é atualizado há sete anos, também está sendo explorado devido a uma falha de injeção de código, permitindo que invasores executem comandos no site alvo. Aproximadamente 90% das 10.000 instalações do Hunk Companion ainda estão executando uma versão vulnerável.

Atualize o Hunk Companion para a versão 1.9.0 ou posterior.

Remova o WP Query Console da sua instalação do WordPress.