افزونه Hunk Companion وردپرس برای نصب پلاگین‌های آسیب پذیر مورد سوء استفاده قرار گرفت!

پلاگین Hunk Companion  که در برخی از قالب‌های وردپرس استفاده می‌شود، اخیراً به دلیل داشتن آسیب ‌پذیری بحرانی مورد سوء استفاده قرار گرفته است. این افزونه می‌تواند به مهاجمان اجازه دهد پلاگین‌های مخرب یا آسیب ‌پذیر را به صورت خودکار روی وب‌سایت‌های وردپرس نصب کنند. چنین رفتاری می‌تواند خطر بزرگی برای امنیت وب‌سایت‌ها و اطلاعات کاربران ایجاد نماید.

پلاگین Hunk Companion  یک افزونه برای سیستم مدیریت محتوای وردپرس است که معمولاً به‌عنوان یک افزونه پشتیبان (Companion) برای برخی قالب‌های وردپرس استفاده می‌شود. این افزونه به‌طور خاص برای افزایش ویژگی‌ها و قابلیت‌های قالب‌ها طراحی شده است، اما در برخی موارد ممکن است خود به یک نقطه ضعف امنیتی تبدیل شود.

این آسیب ‌پذیری که با شناسه CVE-2024-11972 دنبال می‌شود (امتیاز CVSS: 9.8)، تمامی نسخه‌های قبل از ۱.۹.۰ پلاگین Hunk Companion   را تحت تأثیر قرار می‌دهد و امکان نصب دلخواه پلاگین‌‌ها را با استفاده از درخواست‌های POST  تایید نشده فراهم می‌آورد. Hunk Companion، دارای بیش از ده هزار نصب فعال است.

CVE-2024-11972، خطر امنیتی قابل توجهی را به همراه دارد، چرا که مهاجمان را قادر می‌سازد تا پلاگین‌های آسیب ‌پذیر را نصب کنند. این پلاگین مخرب می‌تواند برای حملاتی مانند SQL Injection، اجرای کد از راه دور (RCE)، اسکریپت بین سایتی (XSS) و یا حتی ایجاد بکدور مورد سوء استفاده قرار گیرد.

بدتر از همه، مهاجمان می‌توانند از افزونه‌های قدیمی که دیگر پشتیبانی نمی‌شوند برای دور زدن مکانیزم‌های امنیتی، دستکاری سوابق پایگاه داده، اجرای اسکریپت‌های مخرب و به دست گرفتن کنترل سایت‌ها استفاده نمایند.

Wpscan، این آسیب ‌پذیری را هنگام تجزیه و تحلیل نفوذ انجام شده به یک سایت وردپرسی کشف کرده است.  Wpscan دریافت که هکرها از این آسیب ‌پذیری برای نصب یک افزونه به نام WP Query Console استفاده می کنند و متعاقباً از یک باگ RCE در افزونه نصب شده برای اجرای کد PHP مخرب بهره می‌برند.

شایان ذکر است که این آسیب پذیری  RCE روز صفر در WP Query Console، با شناسه CVE-2024-50498  (امتیاز CVSS: 10.0) دنبال می‌شود و تا کنون هیچگونه پچی برای آن منتشر نشده است.

CVE-2024-11972 همچنین یک پچ بای پس (Bypass) برای CVE-2024-9707 (امتیاز CVSS: 9.8) است، یک آسیب پذیری مشابه در Hunk Companion که می‌تواند نصب یا فعال سازی افزونه‌های غیرمجاز را فعال سازد. این نقص در نسخه ۱.۸.۵ برطرف شده است.

این آسیب پذیری در هسته خود، ناشی از یک باگ در اسکریپت ‘hunk-companion/import/app/app.php’ می‌باشد که به درخواست‌های احراز هویت نشده اجازه می‌دهد تا بررسی‌هایی را که برای تأیید اینکه آیا کاربر فعلی مجاز به نصب افزونه‌ها هست یا خیر، دور بزند.

آنچه این حمله را بسیار خطرناک می‌کند ترکیبی از پارامترهای مختلف شامل استفاده از یک آسیب ‌پذیری پچ ‌شده در Hunk Companion برای نصب یک افزونه حذف ‌شده با یک نقص شناخته شده در اجرای کد از راه دور!

منابع