PT-2024-9606 · WordPress · Hunk Companion
Daniel Rodriguez
·
Publicado
2024-12-10
·
Atualizado
2025-11-01
·
CVE-2024-11972
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do plugin Hunk Companion para WordPress anteriores à 1.9.0
Descrição
O plugin Hunk Companion para WordPress não autoriza adequadamente determinados pontos de extremidade da API REST, permitindo que solicitações não autenticadas instalem e ativem plugins arbitrários do repositório do WordPress.org, incluindo plugins vulneráveis. Esta vulnerabilidade está sendo ativamente explorada, afetando mais de 10.000 sites. A exploração bem-sucedida pode levar à execução remota de código (RCE), injeção de SQL e backdoors administrativos. A vulnerabilidade permite que invasores instalem plugins vulneráveis silenciosamente. Os pontos de extremidade da API vulneráveis não são explicitamente especificados, mas a vulnerabilidade está relacionada à autorização de solicitações para instalar plugins.
Recomendações
Atualize o plugin Hunk Companion para WordPress para a versão 1.9.0 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hunk Companion