Hakerzy próbują wykorzystać podatność w wtyczce Modern Events Calendar w WordPress

Artykuł informuje o próbie wykorzystania podatności w wtyczce Modern Events Calendar dla WordPress, która występuje na ponad 150 000 witrynach internetowych. Atak polega na przesyłaniu arbitralnych plików na podatne strony i zdalnym uruchamianiu kodu. Wtyczka, stworzona przez Webnus, służy do organizowania i zarządzania wydarzeniami osobistymi, wirtualnymi i hybrydowymi. Wykorzystywana podatność została zidentyfikowana jako CVE-2024-5441 i otrzymała wysoką ocenę ryzyka. Problem ten został zgłoszony przez Friderikę Baranyai w trakcie Wordfence’s Bug Bounty Extravaganza. Raport Wordfence wyjaśnia, że lukę w zabezpieczeniach wywołuje brak walidacji typu pliku w funkcji „set_featured_image”, używanej do przesyłania i ustawiania obrazów dla wydarzeń. Atakujący mogą przesyłać pliki dowolnego typu, w tym ryzykowne pliki .PHP. Wykorzystane pliki mogą być wywoływane zdalnie, co prowadzi do pełnej kontrola nad witryną. CVE-2024-5441 może być wykorzystane przez wszystkich uwierzytelnionych użytkowników, włączając subskrybentów i zwykłych członków. Jeśli wtyczka pozwala na przesyłanie wydarzeń przez osoby niezarejestrowane, atak jest możliwy bez uwierzytelniania. Wtyczka została naprawiona przez Webnus, który wydał wersję 7.12.0 Modern Event Calendar, zalecając aktualizację jako środek zapobiegawczy. Jednakże, raport Wordfence informuje, że hakerzy już próbują wykorzystać tę podatność, blokując ponad 100 prób ataku w ciągu 24 godzin. Zaleca się użytkownikom, którzy korzystają z wtyczki Modern Events Calendar i Modern Events Calendar Lite (wersja darmowa), aby jak najszybciej zaktualizować do najnowszej wersji lub wyłączyć wtyczkę do czasu przeprowadzenia aktualizacji.