A WPScan figyelmeztet, fenyegető szereplők használnak ki kritikus súlyosságú sérülékenységet a WordPress Automatic pluginban, így injektálva rosszindulatú kódokat weboldalakra.
A CVE-2024-27956 kódú sérülékenység egy SQL injekciós hibát használ ki a plugin felhasználói hitelesítés kezelésében egy fájlban, amely a támadók számára lehetőséget biztosít arra, hogy kódot juttassanak be egy oldal adatbázisába és rendszergazdai jogosultságokat szerezzenek.
A támadók megkerülhetik a hitelesítési eljárást egy manipulált kérés elküldésével az adatbázis-lekérdezések végrehajtására, és új rendszergazdai fiókot hozhatnak létre, amely lehetővé teszi számukra, hogy rosszindulatú fájlokat töltsenek fel, mint például backdoorok és web shellek.
Az észlelés elkerülése érdekében a támadók átnevezik a sérülékeny plugin fájlt, így megtarthatják a hozzáférést a veszélyeztetett oldalhoz, miközben meggátolják a többi fenyegető szereplőt ugyanazon sérülékenység kihasználásától. A WPScan közleménye szerint a sebezhetőség kiaknázásával a támadók potenciálisan akár át is vehetik az uralmat az érintett weboldalakon.
A Patchstack már március 13-án nyilvánosságra hozta a sérülékenységet, azóta a WPScan már több mint 5 millió kísérletet azonosított a bug kihasználásra. A problémát az Automatic 3.92.1-es verzióban kezelték, amely a CVE-2024-27954 nevű, kritikus súlyosságú SSRF-et és tetszőleges fájlletöltési hibát, valamint a CVE-2024-27955 néven nyomon követett, magas súlyosságú CSRF bugot is javította a Defiant adatai szerint. Ezen sebezhetőségek kihasználásával a támadók információkat változtathatnak meg belső szolgáltatásokon, tetszőleges fájlokhoz férhetnek hozzá a kiszolgálókon, továbbá kiterjeszthetik jogosultságaikat.
A WordPress Automatic lehetővé teszi a felhasználók számára, hogy automatikusan helyezzenek át posztokat bármely weboldalról a WordPressbe, RSS feedeket is beleértve. A plugint több mint 38.000-en használják.
