قال باحثون أمنيون إن آلاف المواقع التي تستخدم WordPress لا تزال غير مصححة ضد ثغرة أمنية خطيرة في مكون إضافي مستخدم على نطاق واسع والذي تم استغلاله بشكل نشط في الهجمات التي تسمح بتنفيذ تعليمات برمجية ضارة بشكل غير مصادق عليه.
الثغرة الأمنية، تعقبها”https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11972″>CVE-2024-11972، موجود في”https://wordpress.org/plugins/hunk-companion/#description”> رفيق قطعة كبيرة، وهو مكون إضافي يعمل على 10000 موقع يستخدم نظام إدارة محتوى WordPress. وتم تصحيح الثغرة الأمنية، التي تحمل تصنيف خطورة يبلغ 9.8 من أصل 10، في وقت سابق من هذا الأسبوع. في الوقت الذي تم فيه نشر هذا المنشور على Ars، أشارت الأرقام المقدمة على صفحة Hunk Companion إلى أن أقل من 12 بالمائة من المستخدمين قاموا بتثبيت التصحيح، مما يعني أنه قد يكون هناك ما يقرب من 9000 موقع مستهدف.
تهديد كبير ومتعدد الأوجه
“تمثل هذه الثغرة الأمنية تهديدًا كبيرًا ومتعدد الأوجه، حيث تستهدف المواقع التي تستخدم كلاً من سمة ThemeHunk والمكون الإضافي Hunk Companion،” قال دانييل رودريجيز، الباحث في شركة أمان WordPress WP Scan،”https://wpscan.com/blog/unauthorized-plugin-installation-activation-in-hunk-companion/”> كتب. “مع أكثر من 10000 عملية تثبيت نشطة، أدى هذا إلى تعريض آلاف مواقع الويب لهجمات مجهولة المصدر وغير مصادق عليها قادرة على تعريض سلامتها للخطر الشديد.”
وقال رودريكيز إن WP Scan اكتشف الثغرة الأمنية أثناء تحليل اختراق موقع العميل. ووجدت الشركة أن المتجه الأولي كان CVE-2024-11972. سمح هذا الاستغلال للمتسللين الذين يقفون وراء الهجوم بجعل المواقع الضعيفة تنتقل تلقائيًا إلى WordPress.org وتنزيلها”https://wordpress.org/plugins/wp-query-console/”>وحدة تحكم استعلام WP، وهو مكون إضافي لم يتم تحديثه منذ سنوات.