Критична вразливість у плагіні WordPress загрожує тисячам сайтів

Недавно виявлена вразливість у популярному плагіні Hunk Companion для WordPress є серйозною загрозою для тисяч сайтів. Вразливість CVE-2024-11972, що отримала високий рейтинг небезпеки 9.8 з 10, стосується більше 8000 сайтів і вже активно використовується в атаках, що дозволяють зловмисникам виконувати шкідливий код.

Дослідники з компанії WP Scan повідомили, що вразливість була виявлена під час розслідування злому одного з сайтів. Хакери використали її для впровадження застарілого плагіна WP Query Console, який, незважаючи на блокування на офіційному сайті WordPress, був завантажений за допомогою спеціального URL. Це дозволило їм активувати вразливість CVE-2024-50498 у WP Query Console, що має максимальний рейтинг 10 і залишається не виправленою.

Оновлення плагіна Hunk Companion було випущено на цьому тижні, але менше 12% користувачів встановили його. Це означає, що велика кількість сайтів залишається вразливими до атак. Розробники вже усунули проблему у версії 1.9.0, однак сайти, які не оновилися, все ще можуть стати мішенню для зловмисників.

Користувачі, які використовують тему ThemeHunk та плагін Hunk Companion, повинні негайно встановити останні оновлення, щоб убезпечити свої сайти від можливих атак.