Peretas mencoba mengeksploitasi kerentanan pada plugin WordPress Kalender Acara Modern yang terdapat pada lebih dari 150.000 situs web untuk mengunggah file sembarangan ke situs yang rentan dan mengeksekusi kode dari jarak jauh.
Plugin ini dikembangkan oleh Webnus dan digunakan untuk mengatur dan mengelola acara tatap muka, virtual, atau hybrid.
Kerentanan yang dieksploitasi dalam serangan tersebut diidentifikasi sebagai CVE-2024-5441 dan menerima skor keparahan tinggi (CVSS v3.1: 8.8). Kerentanan tersebut ditemukan dan dilaporkan secara bertanggung jawab pada tanggal 20 Mei oleh Friderika Baranyai selama Bug Bounty Extravaganza Wordfence.
Di sebuah laporan menjelaskan masalah keamanan, Wordfence mengatakan bahwa masalah keamanan berasal dari kurangnya validasi jenis file dalam fungsi ‘set_featured_image’ plugin, yang digunakan untuk mengunggah dan mengatur gambar unggulan untuk acara.
Fungsi ini mengambil URL gambar dan ID posting, mencoba mendapatkan ID lampiran, dan jika tidak ditemukan, mengunduh gambar menggunakan dapatkan_halaman_web fungsi.
Ini mengambil gambar menggunakan wp_jarak_jauh_dapatkan atau file_dapatkan_kontendan menyimpannya ke direktori unggahan WordPress menggunakan file_masukkan_isi fungsi.
Versi Kalender Acara Modern hingga dan termasuk 7.11.0 tidak memiliki pemeriksaan untuk jenis ekstensi file pada file gambar yang diunggah, sehingga memungkinkan semua jenis file, termasuk file .PHP yang berisiko, untuk diunggah.
Setelah diunggah, berkas-berkas ini dapat diakses dan dijalankan, memungkinkan eksekusi kode jarak jauh pada server dan berpotensi mengarah pada pengambilalihan situs web sepenuhnya.
Setiap pengguna yang diautentikasi, termasuk pelanggan dan setiap anggota terdaftar, dapat memanfaatkan CVE-2024-5441.
Jika plugin diatur untuk mengizinkan pengiriman acara dari non-anggota (pengunjung tanpa akun), CVE-2024-5441 dapat dieksploitasi tanpa autentikasi.
Webnus memperbaiki kerentanan tersebut kemarin dengan merilis versi 7.12.0 dari Kalender Acara Modern, yang merupakan pemutakhiran yang direkomendasikan untuk menghindari risiko serangan siber.
Namun, Wordfence melaporkan bahwa para peretas sudah mencoba memanfaatkan masalah ini dalam serangan, memblokir lebih dari 100 percobaan dalam 24 jam.
Mengingat upaya eksploitasi yang sedang berlangsung, pengguna Kalender Acara Modern dan Kalender Acara Modern Lite (versi gratis) harus memperbarui ke versi terbaru sesegera mungkin atau menonaktifkan plugin hingga mereka dapat melakukan pembaruan.
