Gli amministratori di WordPress che eseguono il plugin Modern Events Calendar sui loro siti web devono affrettarsi ad aggiornare i loro siti con l'ultima versione del plugin. Questo perché gli hacker hanno iniziato a sfruttare una grave vulnerabilità nel plugin Calendar per colpire i siti WordPress.
Vulnerabilità del plugin Calendario Eventi Moderni Rischi 150K Siti
Il servizio di sicurezza di WordPress Wordfence ha recentemente condiviso i dettagli di una grave vulnerabilità di sicurezza nel plugin Modern Events Calendar.
Come spiegato nel loro inviareil plugin Modern Events Calendar aveva una vulnerabilità di caricamento file arbitrario. Il difetto è apparso a causa della mancata convalida del tipo di file nel plugin set_featured_image funzione. Un avversario potrebbe sfruttare questa falla per caricare file di immagini dannosi o file .php sul server di destinazione per innescare l'esecuzione di codice remoto.
Mentre per sfruttare la falla era necessario che l'attaccante avesse accesso autenticato, attacchi non autenticati potrebbero anche diventare possibili su siti che consentono invii di eventi non autenticati. Nei peggiori tentativi di sfruttamento, la vulnerabilità potrebbe persino consentire un'acquisizione completa del sito Web tramite webshell o altre tecniche.
La vulnerabilità ha ricevuto l'ID CVE CVE-2024-5441ottenendo un punteggio di gravità elevato e un punteggio CVSS di 8,8. Wordfence ha condiviso l'analisi tecnica dettagliata della falla nel suo post.
Correggi i tuoi siti il prima possibile perché gli hacker sfruttano attivamente la falla
La vulnerabilità ha inizialmente attirato l'attenzione della ricercatrice di sicurezza Friderika Baranyai (alias Foxyyy), che l'ha poi segnalata tramite il programma bug bounty di Wordfence. In seguito alla sua segnalazione, Wordfence si è coordinata con gli sviluppatori del plugin per correggere il difetto che aveva avuto un impatto sulla versione 7.11.0 del plugin.
Alla fine, gli sviluppatori, Webnus, hanno corretto il difetto con Modern Events Calendar 7.12.0. Inoltre, il ricercatore ha vinto una ricompensa di 3.094 $ per la segnalazione del bug.
Sebbene la patch sia stata rilasciata, Recinto di parole rilevati tentativi di sfruttamento attivi per questa vulnerabilità. Dato che il plugin vanta oltre 150.000 installazioni attive, la falla mette a rischio migliaia di siti web in tutto il mondo. Pertanto, gli utenti devono assicurarsi di aggiornare i propri siti con l'ultima versione del plugin per evitare potenziali minacce.
Fateci sapere che ne pensate nei commenti.