Une vulnérabilité critique dans l’extension Hunk Companion (< 1.9.0) permet à des attaquants non authentifiés d’effectuer des requêtes POST afin d’installer et d’activer des extensions directement depuis le répertoire WordPress.org. Cette faille autorise l’installation d’extensions vulnérables ou supprimées, qui peuvent ensuite être exploitées pour des attaques graves telles que l’exécution de code à distance (RCE), l’injection SQL, le Cross-Site Scripting (XSS) ou la création de portes dérobées (backdoors).
La vulnérabilité a été activement exploitée dans des environnements réels. Les acteurs de la menace ont utilisé cette faille en combinaison avec des vulnérabilités présentes dans des extensions installées, telles que WP Query Console, pour compromettre des sites WordPress. La chaîne d’attaque prévoit l’installation de WP Query Console suivie de l’exploitation de sa vulnérabilité RCE pour exécuter du code PHP arbitraire, facilitant ainsi d’autres exploits et la persistance.
| Produit | hunk-companion |
| Date | 16-12-2024 13:59:35 |
| Informations |
|
Résumé technique
CVE-ID : CVE-2024-11972
Extension concernée : Hunk Companion (< 1.9.0)
Gravité (CVSS v3.1) : 9.8 (Critique)
La vulnérabilité réside dans le point de terminaison themehunk-import défini dans l’extension Hunk Companion. En raison d’une implémentation incorrecte de la fonction permission_callback dans le gestionnaire de l’API REST, les requêtes non authentifiées contournent les contrôles d’autorisation. La fonction tp_install est alors invoquée au sein de l’extension, ce qui facilite le téléchargement et l’activation d’extensions, y compris celles marquées comme fermées ou vulnérables sur WordPress.org.
L’exploitation observée dans des environnements réels suit cette séquence :
- Installation et activation de WP Query Console : Les attaquants exploitent la vulnérabilité de Hunk Companion pour installer et activer WP Query Console, une extension présentant une vulnérabilité RCE non corrigée.
- Exécution de code à distance : En utilisant WP Query Console, les attaquants exécutent du code PHP arbitraire pour déployer des droplets malveillants dans le répertoire racine du site, permettant un accès continu via des requêtes GET non authentifiées.
Cette chaîne d’attaque expose plus de 10 000 sites web utilisant l’extension Hunk Companion à des risques significatifs, notamment la compromission du site, le vol de données et la distribution possible de logiciels malveillants.
Recommandations
Mise à jour immédiate : mettez à jour vers la version 1.9.0 ou ultérieure de Hunk Companion, qui corrige la vulnérabilité en rectifiant l’implémentation de permission_callback.
[Callforaction-THREAT-Footer]
Leave a Reply