Questo popolare plugin di calendario di WordPress è preso di mira dagli hacker, quindi agisci ora
Se il tuo sito web WordPress esegue il plugin Modern Events Calendar, assicurati di aggiornarlo immediatamente, poiché presenta una vulnerabilità di elevata gravità che può essere sfruttata per il controllo completo del sito web. A peggiorare le cose, i ricercatori affermano che gli hacker stanno già sfruttando la falla in natura.
La ricercatrice di sicurezza informatica Friderika Baranyai ha scoperto per la prima volta il problema a fine maggio 2024 durante la Wordfence Bug Bounty Extravaganza. È descritto come un bug di convalida del tipo di file mancante, ora tracciato come CVE-2024-5441. Ha un punteggio di gravità di 8,8 (alto).
Come spiegato dal gruppo di sicurezza WordPress Wordfence, il plugin non ha la convalida del tipo di file nella funzione ‘set_featured_image’, che le persone possono usare per caricare e impostare le immagini in evidenza per gli eventi. Poiché il plugin non controlla che tipo di file vengono caricati, gli attori malintenzionati possono anche spingere file .PHP dannosi, il che potrebbe portare al completo controllo del sito. Qualsiasi utente autenticato, inclusi abbonati e membri registrati, può trarre vantaggio dalla falla.
Dati in vendita
UN Computer che fischia Il rapporto afferma che attualmente più di 150.000 siti web WordPress utilizzano Modern Events Calendar, il che significa che la superficie di attacco è piuttosto ampia.
Si dice che tutte le versioni del plugin, fino alla 7.11.0, siano vulnerabili e si consiglia agli utenti di aggiornare il loro plugin almeno alla versione 7.12.0. Wordfence afferma di aver già osservato hacker che cercano di abusare della falla, in quanto ha bloccato più di 100 tentativi finora.
WordPress è il più popolare costruttore di siti web nel mondo, attualmente alimentando quasi la metà di tutti i siti web su Internet. In quanto tale, è un bersaglio popolare per i criminali informatici, ma è generalmente considerato sicuro e difficile da violare. Tuttavia, WordPress ha anche un enorme negozio online per temi e componenti aggiuntivi, che sono divisi in prodotti gratuiti e commerciali.
Anche i prodotti commerciali sono relativamente sicuri, poiché hanno un team dedicato che lavora sui miglioramenti e spinge gli aggiornamenti. I prodotti gratuiti, tuttavia, sono spesso progetti appassionati realizzati da sviluppatori singoli o piccoli team e a volte non vengono aggiornati e mantenuti, trasformandosi in obiettivi principali per gli attori delle minacce.