Недавно выявленная уязвимость в популярном плагине Hunk Companion для WordPress представляет собой серьёзную угрозу для тысяч сайтов. Уязвимость CVE-2024-11972, получившая высокий рейтинг опасности 9.8 из 10, затрагивает более 8000 сайтов и уже активно используется в атаках, позволяющих злоумышленникам выполнить вредоносный код.
Исследователи из компании WP Scan сообщили, что уязвимость была обнаружена при расследовании взлома одного из сайтов. Хакеры использовали её для внедрения устаревшего плагина WP Query Console, который, несмотря на блокировку на официальном сайте WordPress, был загружен с помощью специального URL. Это позволило им активировать уязвимость CVE-2024-50498 в WP Query Console, имеющую максимальный рейтинг 10 и остающуюся не исправленной.
Обновление плагина Hunk Companion было выпущено на этой неделе, но менее 12% пользователей установили его. Это означает, что большое количество сайтов остаются уязвимыми для атак. Разработчики уже устранили проблему в версии 1.9.0, однако сайты, не обновившиеся, всё ещё могут стать мишенью для злоумышленников.
Пользователи, использующие тему ThemeHunk и плагин Hunk Companion, должны немедленно установить последние обновления, чтобы обезопасить свои сайты от возможных атак.