研究发现,黑客正试图利用现代事件日历 WordPress 插件中的漏洞(该漏洞存在于超过 150,000 个网站上),将任意文件上传到易受攻击的站点并远程执行代码。
该插件由 Webnus 开发,用于组织和管理现场、虚拟或混合活动。
攻击中利用的漏洞被标识为 CVE-2024-5441,并获得了高严重性评分(CVSS v3.1:8.8)。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。
在一份描述安全问题的报告中,Wordfence 表示,安全问题源于插件的 "set_featured_image" 函数缺乏文件类型验证,该函数用于上传和设置事件的特色图片。
该函数获取图像 URL 和帖子 ID,尝试获取附件 ID,如果未找到,则使用 get_web_page 函数下载图像。
它使用 wp_remote_get 或 file_get_contents 检索图像,并使用 file_put_contents 函数将其保存到 WordPress 上传目录。
现代事件日历版本(直至 7.11.0)不检查上传的图像文件中扩展名的文件类型,允许上传任何文件类型,包括有风险的 .PHP 文件。
一旦上传,这些文件就可以被访问和执行,从而可以在服务器上执行远程代码,并可能导致完全的网站接管。
任何经过身份验证的用户(包括订阅者和任何注册会员)均可利用 CVE-2024-5441。如果插件设置为允许非会员(没有帐户的访问者)提交事件,则无需身份验证即可利用 CVE-2024-5441。
Webnus 近日发布了现代事件日历 7.12.0 版本修复了该漏洞,可有效避免网络攻击风险的推荐升级。
然而,Wordfence 报告称,黑客已试图利用该问题进行攻击,并在 24 小时内阻止了 100 多次攻击尝试。
鉴于正在进行的攻击活动,现代事件日历和现代事件日历精简版(免费版)的用户应尽快升级到最新版本或禁用该插件,直到他们可以执行更新。