ISGroup Consultoría de Ciberseguridad

Instalación/Activación no autorizada de plugins en el plugin Hunk Companion, explotada activamente

Una vulnerabilidad crítica en el plugin Hunk Companion (< 1.9.0) permite a atacantes no autenticados realizar solicitudes POST que instalan y activan plugins directamente desde el repositorio de WordPress.org. Esta falla permite la instalación de plugins vulnerables o eliminados, que pueden ser explotados posteriormente para ataques graves como Ejecución Remota de Código (RCE), Inyección SQL, Cross-Site Scripting (XSS) o la creación de puertas traseras (backdoors).

La vulnerabilidad ha sido explotada activamente en entornos reales. Los actores de amenazas han utilizado esta falla en combinación con vulnerabilidades presentes en plugins instalados, como WP Query Console, para comprometer sitios de WordPress. La cadena de ataque implica la instalación de WP Query Console seguida de la explotación de su vulnerabilidad RCE para ejecutar código PHP arbitrario, facilitando exploits adicionales y la persistencia.

Productohunk-companion
Fecha2024-12-16 13:59:35
Información
  • Tendencia
  • Corrección disponible
  • Explotación activa

Resumen técnico

CVE-ID: CVE-2024-11972

Plugin afectado: Hunk Companion (< 1.9.0)

Gravedad (CVSS v3.1): 9.8 (Crítico)

La vulnerabilidad reside en el endpoint themehunk-import definido en el plugin Hunk Companion. Debido a una implementación incorrecta de la función permission_callback en el gestor de la API REST, las solicitudes no autenticadas omiten los controles de autorización. Posteriormente, se invoca la función tp_install dentro del plugin, la cual facilita la descarga y activación de plugins, incluidos aquellos marcados como cerrados o vulnerables en WordPress.org.

La explotación observada en entornos reales sigue esta secuencia:

  1. Instalación y activación de WP Query Console: Los atacantes aprovechan la vulnerabilidad de Hunk Companion para instalar y activar WP Query Console, un plugin con una vulnerabilidad RCE sin corregir.
  2. Ejecución de código remoto: Utilizando WP Query Console, los atacantes ejecutan código PHP arbitrario para desplegar archivos maliciosos en el directorio raíz del sitio, permitiendo un acceso continuo mediante solicitudes GET no autenticadas.

Esta cadena de ataque expone a más de 10,000 sitios web que utilizan el plugin Hunk Companion a riesgos significativos, incluyendo la toma de control del sitio, robo de datos y posible distribución de malware.

Recomendaciones

Actualizar inmediatamente: actualizar a la versión 1.9.0 o superior de Hunk Companion, la cual corrige la vulnerabilidad ajustando la implementación de permission_callback.

[Callforaction-THREAT-Footer]

In