Por causa de uma vulnerabilidade de alta gravidade, um plugin de calendário do WordPress está na mira dos hackers.
O Modern Events Calendar é um plugin para WordPress desenvolvido pela Webnus que é usado para organizar e gerenciar eventos presenciais, virtuais ou híbridos, e que está presente em mais de 150.000 sites.
Os hackers estão tentando explorar uma vulnerabilidade no plugin Modern Events Calendar para fazer upload de arquivos arbitrários para um site vulnerável e executar código remotamente.
Plugin de calendário do WordPress está na mira dos hackers
Sim. Um Plugin de calendário do WordPress está na mira dos hackers por causa de uma falha e ele está presente em mais de 150.000 sites.
A vulnerabilidade explorada nos ataques é identificada como CVE-2024-5441 e recebeu pontuação de alta gravidade (CVSS v3.1: 8.8). Foi descoberto e relatado de forma responsável em 20 de maio por Friderika Baranyai durante o Bug Bounty Extravaganza do Wordfence.
Em um relatório que descreve o problema de segurança, o Wordfence afirma que o problema de segurança decorre da falta de validação do tipo de arquivo na função ‘set_featured_image’ do plugin, usada para fazer upload e definir imagens em destaque para os eventos.
A função pega um URL de imagem e um ID de postagem, tenta obter o ID do anexo e, se não for encontrado, baixa a imagem usando a função get_web_page.
Ele recupera a imagem usando wp_remote_get ou file_get_contents e a salva no diretório de uploads do WordPress usando a função file_put_contents.
As versões modernas do Calendário de Eventos até 7.11.0 inclusive não têm verificações para o tipo de extensão de arquivo nos arquivos de imagem carregados, permitindo o upload de qualquer tipo de arquivo, incluindo arquivos .PHP arriscados.
Uma vez carregados, esses arquivos podem ser acessados e executados, permitindo a execução remota de código no servidor e potencialmente levando ao controle completo do site.
Qualquer usuário autenticado, incluindo assinantes e membros registrados, pode explorar o CVE-2024-5441.
Se o plug-in estiver configurado para permitir envios de eventos de não membros (visitantes sem contas), o CVE-2024-5441 poderá ser explorado sem autenticação.
Webnus corrigiu a vulnerabilidade ontem ao lançar a versão 7.12.0 do Modern Event Calendar, que é a atualização recomendada para evitar o risco de um ataque cibernético.
No entanto, o Wordfence relata que os hackers já estão tentando aproveitar o problema em ataques, bloqueando mais de 100 tentativas em 24 horas.
Dados os esforços contínuos de exploração, os usuários do Modern Events Calendar e do Modern Events Calendar Lite (versão gratuita) devem atualizar para a versão mais recente o mais rápido possível ou desabilitar o plugin até que possam realizar a atualização.
