Skip to main content

Los piratas informáticos atacan el complemento de calendario de WordPress utilizado por 150.000 sitios

julio 10, 2024


Los piratas informáticos están intentando explotar una vulnerabilidad en el complemento Modern Events Calendar de WordPress que está presente en más de 150.000 sitios web para cargar archivos arbitrarios en un sitio vulnerable y ejecutar código de forma remota.

El complemento está desarrollado por Webnus y se utiliza para organizar y gestionar eventos presenciales, virtuales o híbridos.

La vulnerabilidad explotada en los ataques se identificó como CVE-2024-5441 y recibió una puntuación de gravedad alta (CVSS v3.1: 8.8). Friderika Baranyai la descubrió y la informó de manera responsable el 20 de mayo durante la Bug Bounty Extravaganza de Wordfence.

en un informe Al describir el problema de seguridad, Wordfence dice que el problema de seguridad se debe a una falta de validación del tipo de archivo en la función ‘set_featured_image’ del complemento, utilizada para cargar y configurar imágenes destacadas para los eventos.

La función toma una URL de imagen y una ID de publicación, intenta obtener la ID del archivo adjunto y, si no lo encuentra, descarga la imagen usando el obtener_pagina_web función.

Recupera la imagen usando Obtener wp_remote o archivo_obtener_contenidoy lo guarda en el directorio de cargas de WordPress usando archivo_poner_contenido función.

Las versiones modernas del Calendario de eventos hasta la 7.11.0 inclusive no tienen controles para el tipo de extensión de los archivos de imágenes cargados, lo que permite cargar cualquier tipo de archivo, incluidos los riesgosos archivos .PHP.

Una vez cargados, se puede acceder a estos archivos y ejecutarlos, lo que permite la ejecución remota de código en el servidor y potencialmente conducir al control total del sitio web.

Cualquier usuario autenticado, incluidos suscriptores y miembros registrados, puede explotar CVE-2024-5441.

Si el complemento está configurado para permitir envíos de eventos por parte de personas que no son miembros (visitantes sin cuentas), CVE-2024-5441 se puede explotar sin autenticación.

Webnus solucionó la vulnerabilidad ayer lanzando la versión 7.12.0 de Modern Event Calendar, que es la actualización recomendada para evitar el riesgo de un ciberataque.

Sin embargo, Wordfence informa que los piratas informáticos ya están tratando de aprovechar el problema en sus ataques, bloqueando Más de 100 intentos en 24 horas.

Dados los continuos esfuerzos de explotación, los usuarios de Modern Events Calendar y Modern Events Calendar Lite (versión gratuita) deben actualizar a la última versión lo antes posible o deshabilitar el complemento hasta que puedan realizar la actualización.



Source link

Translate »