• Casa
  • Blog
  • Wordpress
  • Gli hacker prendono di mira il plugin del calendario di WordPress utilizzato da 150.000 siti
Wordpress

Gli hacker prendono di mira il plugin del calendario di WordPress utilizzato da 150.000 siti

Da La Redazione
su 11/07/2024
back-2.jpg

Gli hacker stanno cercando di sfruttare una vulnerabilità nel plugin WordPress Modern Events Calendar, presente su oltre 150.000 siti web, per caricare file arbitrari su un sito vulnerabile ed eseguire codice da remoto.

Il plugin è sviluppato da Webnus e viene utilizzato per organizzare e gestire eventi di persona, virtuali o ibridi.


La vulnerabilità sfruttata negli attacchi è identificata come CVE-2024-5441 e ha ricevuto un punteggio di gravità elevato (CVSS v3.1: 8.8). È stata scoperta e segnalata in modo responsabile il 20 maggio da Friderika Baranyai durante la Bug Bounty Extravaganza di Wordfence.

In un rapporto Descrivendo il problema di sicurezza, Wordfence afferma che esso deriva dalla mancanza di convalida del tipo di file nella funzione 'set_featured_image' del plugin, utilizzata per caricare e impostare le immagini in evidenza per gli eventi.

La funzione accetta un URL dell'immagine e un ID del post, cerca di ottenere l'ID dell'allegato e, se non viene trovato, scarica l'immagine utilizzando ottenere_pagina_web funzione.

Recupera l'immagine utilizzando wp_remote_get O file_ottieni_contenutie lo salva nella directory dei caricamenti di WordPress utilizzando file_inserisci_contenuto funzione.

Le versioni moderne del Calendario Eventi fino alla 7.11.0 inclusa non verificano il tipo di estensione del file nei file immagine caricati, consentendo il caricamento di qualsiasi tipo di file, compresi i rischiosi file .PHP.

Una volta caricati, questi file sono accessibili ed eseguibili, consentendo l'esecuzione di codice remoto sul server e potenzialmente portando al completo controllo del sito web.

Qualsiasi utente autenticato, compresi gli abbonati e tutti i membri registrati, può sfruttare CVE-2024-5441.

Se il plugin è impostato per consentire l'invio di eventi da parte di non membri (visitatori senza account), CVE-2024-5441 è sfruttabile senza autenticazione.

Webnus ha risolto la vulnerabilità ieri rilasciando la versione 7.12.0 di Modern Event Calendar, che è l'aggiornamento consigliato per evitare il rischio di un attacco informatico.

Tuttavia, Wordfence segnala che gli hacker stanno già cercando di sfruttare il problema negli attacchi, bloccando oltre 100 tentativi in ​​24 ore.

Considerati i continui sforzi di sfruttamento, gli utenti di Modern Events Calendar e Modern Events Calendar Lite (versione gratuita) dovrebbero eseguire l'aggiornamento alla versione più recente il prima possibile o disattivare il plugin finché non potranno eseguire l'aggiornamento.

Articoli Correlati

Wordpress

WordPress in conflitto con il provider hosting: aggiornamenti impossibili – Techzine Europe

Wordpress

Ottieni un tasso di conversione più elevato con l’intelligenza artificiale per WooCommerce – NewsWatch

Wordpress

Nuovo plugin WordPress semplifica il raggiungimento del successo – Search Engine Journal

Wordpress

I cinque migliori plugin di backup di WordPress per evitare disastri – SitePoint

Wordpress

Un altro dei principali plugin di WordPress presenta una grave falla di sicurezza e milioni di siti potrebbero essere interessati – MSN

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I nostri partner

Su Bannersites.com metti la tua pubblicità a costi bassissimi.

Tramite Seolink.online potrai accedere e gestire i tuoi annunci per pubblicare contenuti sul tuo sito web.

La lista completa per i guest post.

Per il tuo network, sfrutta i nostri partner di fiducia, pubblica e gestisci i tuoi backlink seo.

Copyright © 2022. Tutti i diritti Riservati. Sito web creato con ❤️ da Creo Group™ Wellness e Sponsor Elite
Supporto
1
🛎️ Chatta con noi!
Scan the code
Ciao 👋
Hai bisogno di aiuto?