Vulnerabilità di Hunk Companion (CVE‑2024‑11972) consente l’installazione non autorizzata di plugin
Fonti
Articolo originale: WPScan – Vulnerabilità Hunk Companion (CVE‑2024‑11972)
Approfondimento
Il plugin Hunk Companion (versioni inferiori a 1.9.0) presenta una vulnerabilità che consente a chiunque di inviare richieste POST non autenticati per installare e attivare plugin direttamente dal repository di WordPress.org. L’attacco sfrutta la mancanza di controlli di autorizzazione adeguati nell’endpoint REST API “themehunk‑import”.
Dati principali
Tabella riepilogativa della vulnerabilità:
| Versione corretta | 1.9.0 |
| ID CVE | CVE‑2024‑11972 |
| ID WPVDB | 4963560b‑e4ae‑451d‑8f94‑482779c415e4 |
| CVSSv3.1 | 9.8 |
Possibili Conseguenze
Una vulnerabilità di questo tipo può portare a:
- Installazione di plugin vulnerabili o chiusi, con conseguente esecuzione di codice remoto (RCE).
- Iniezione di SQL, XSS o creazione di backdoor amministrative.
- Manipolazione di dati nel database e alterazione di contenuti.
- Accesso non autorizzato a funzionalità di amministrazione.
Opinione
Il caso evidenzia l’importanza di controlli di sicurezza rigorosi nei plugin WordPress, soprattutto quando si gestiscono endpoint REST. La mancanza di una corretta gestione delle autorizzazioni ha permesso un attacco che sfrutta plugin già deprecati.
Analisi Critica (dei Fatti)
Il codice di themehunk-import utilizza una permission_callback che restituisce un oggetto WP_REST_Response invece di un valore booleano o di un WP_Error. Questo comporta che la funzione di autorizzazione ritorni sempre true, consentendo richieste non autorizzate. La correzione consiste nell’utilizzare WP_Error per indicare errori di autorizzazione.
Relazioni (con altri fatti)
La vulnerabilità è correlata a:
- Il plugin WP Query Console, che presenta una vulnerabilità RCE (CVE‑2024‑50498).
- Il tema ThemeHunk, spesso usato insieme a Hunk Companion.
- Il fatto che la vulnerabilità sia stata segnalata ma persiste in versioni recenti (1.8.7) prima della correzione definitiva in 1.9.0.
Contesto (oggettivo)
WordPress è il CMS più diffuso al mondo. La sicurezza di un sito dipende dalla gestione di temi e plugin di terze parti. Con oltre 10.000 installazioni attive di Hunk Companion, la vulnerabilità ha potenzialmente esposto un gran numero di siti a rischi di compromissione.
Timeline
27 novembre 2024 – Scoperta interna della vulnerabilità. Comunicazione al team di Hunk Companion.
10 dicembre 2024 – Rilascio del patch da parte di Hunk Companion.
10 dicembre 2024 – Pubblicazione dell’avviso di sicurezza.
Il PoC sarà mostrato il 14 gennaio 2025 per dare tempo agli utenti di aggiornare.
Credits
Ricerca originale: Daniel Rodriguez
Ringraziamenti: WPScan team e Ashley Robicheau per feedback, supporto e correzioni.
Domande Frequenti
- Qual è la versione di Hunk Companion che risolve la vulnerabilità?
- La versione 1.9.0 contiene la correzione definitiva.
- Quali plugin possono essere installati tramite l’attacco?
- Qualsiasi plugin presente nel repository di WordPress.org, inclusi quelli chiusi o deprecati.
- Come si verifica la vulnerabilità di WP Query Console?
- Il plugin presenta una vulnerabilità RCE (CVE‑2024‑50498) che permette l’esecuzione di codice PHP arbitrario.
- Quali sono i rischi principali di questa vulnerabilità?
- RCE, iniezione SQL, XSS, backdoor amministrative e perdita di integrità dei dati.
- Come posso proteggere il mio sito?
- Aggiornare Hunk Companion a 1.9.0 o superiore, rimuovere plugin non necessari, verificare i permessi di accesso alle API REST e monitorare i log di accesso.
Commento all'articolo