长亭百川云 - 文章详情

黑客瞄准 15 万个网站使用的 WordPress 日历插件

CNCERT国家工程研究中心

48

2024-07-18

研究发现,黑客正试图利用现代事件日历 WordPress 插件中的漏洞(该漏洞存在于超过 150,000 个网站上),将任意文件上传到易受攻击的站点并远程执行代码。

该插件由 Webnus 开发,用于组织和管理现场、虚拟或混合活动。

攻击中利用的漏洞被标识为 CVE-2024-5441,并获得了高严重性评分(CVSS v3.1:8.8)。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。

在一份描述安全问题的报告中,Wordfence 表示,安全问题源于插件的“set_featured_image”函数缺乏文件类型验证,该函数用于上传和设置事件的特色图片。

该函数获取图像 URL 和帖子 ID,尝试获取附件 ID,如果未找到,则使用 get_web_page 函数下载图像。

它使用 wp_remote_get 或 file_get_contents 检索图像,并使用 file_put_contents 函数将其保存到 WordPress 上传目录。

现代事件日历版本(直至 7.11.0)不检查上传的图像文件中扩展名的文件类型,允许上传任何文件类型,包括有风险的 .PHP 文件。

一旦上传,这些文件就可以被访问和执行,从而可以在服务器上执行远程代码,并可能导致完全的网站接管。

任何经过身份验证的用户(包括订阅者和任何注册会员)均可利用 CVE-2024-5441。如果插件设置为允许非会员(没有帐户的访问者)提交事件,则无需身份验证即可利用 CVE-2024-5441。

Webnus 近日发布了现代事件日历 7.12.0 版本修复了该漏洞,可有效避免网络攻击风险的推荐升级。

然而,Wordfence 报告称,黑客已试图利用该问题进行攻击,并在 24 小时内阻止了 100 多次攻击尝试。

鉴于正在进行的攻击活动,现代事件日历和现代事件日历精简版(免费版)的用户应尽快升级到最新版本或禁用该插件,直到他们可以执行更新。

参考及来源:

https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/

原文来源:嘶吼专业版

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2