Հաքերները սկսել են ակտիվորեն օգտագործել WordPress-ի համար նախատեսված ValvePress Automatic հավելվածի անվտանգության կրիտիկական խոցելիությունը, ինչը կարող է հանգեցնել կայքերի ամբողջական հափշտակման։
Խոցելիությունը դիտարկվում է որպես CVE-2024-27956 և CVSS կատալոգում ունի 9,9 գնահատման բարձր միավորը։ Այն ազդում է հավելվածի բոլոր տարբերակների վրա՝ 3.92.0-ը ներառյալ: Այս պահի դրությամբ bug-ը ֆիքսվել է միայն 2024 թվականի փետրվարի 27-ին թողարկված 3.92.1 տարբերակում։
Ըստ Automattic-ին պատկանող ընկերության՝ bug-ն արմատավորված է plugin-ի օգտատերերի նույնականացման մեխանիզմում, ինչը կարելի է հատուկ մշակված SQL հարցումների միջոցով հմտորեն շրջանցվել։
«Վտանգելով WordPress կայքերը՝ հաքերները մուտք են ապահովում դեպի ներքին համակարգեր և backdoor–եր ստեղծում, – նշում է WPScan-ը:
«Հայտնաբերումից խուսափելու համար հաքերները կարող են վերանվանել խոցելի WP-Automatic ֆայլը՝ դժվարացնելով անվտանգության գործիքների հայտնաբերումն ու արգելափակումը»:
Քննարկվող ֆայլը «/wp‑content/plugins/wp‑automatic/inc/csv.php»–ն է, որը ներկայումս վերանվանվել է՝ «/wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php:
CVE-2024-27956-ը հրապարակայնորեն բացահայտվել է WordPress Patchstack անվտանգության ընկերության կողմից դեռևս 2024 թվականի մարտի 13-ին: Այդ ժամանակից ի վեր լայնամասշտաբ թիրախներում ավելի քան 5,5 միլիոն հարձակման փորձ է հայտնաբերվել։
Աղբյուրը՝ https://thehackernews.com/