Hacker versuchen, eine Schwachstelle im WordPress-Plugin Modern Events Calendar auszunutzen, das auf mehr als 150.000 Websites vorhanden ist, um beliebige Dateien auf eine verwundbare Website hochzuladen und Code aus der Ferne auszuführen.
Das Plugin wurde von Webnus entwickelt und dient der Organisation und Verwaltung von persönlichen, virtuellen oder hybriden Veranstaltungen.
Die bei den Angriffen ausgenutzte Schwachstelle wird als CVE-2024-5441 identifiziert und erhielt einen hohen Schweregrad (CVSS v3.1: 8.8). Sie wurde am 20. Mai von Friderika Baranyai im Rahmen der Bug Bounty Extravaganza von Wordfence entdeckt und gemeldet.
In einem Bericht, in dem das Sicherheitsproblem beschrieben wird, erklärt Wordfence, dass das Sicherheitsproblem auf eine fehlende Dateityp-Validierung in der Funktion "set_featured_image" des Plugins zurückzuführen ist, die zum Hochladen und Einstellen von Bildern für die Ereignisse verwendet wird.
Die Funktion nimmt eine Bild-URL und eine Post-ID entgegen, versucht, die Anhang-ID zu erhalten, und wenn sie nicht gefunden wird, lädt sie das Bild mit der get_web_page Funktion.
Er ruft das Bild mit Hilfe von wp_remote_get oder file_get_contentsund speichert es im WordPress-Uploads-Verzeichnis mit file_put_contents Funktion.
Moderne Veranstaltungskalender-Versionen bis einschließlich 7.11.0 haben keine Prüfungen für den Dateityp der Erweiterung in hochgeladenen Bilddateien, so dass jeder Dateityp, einschließlich riskanter .PHP-Dateien, hochgeladen werden kann.
Nach dem Hochladen kann auf diese Dateien zugegriffen und sie können ausgeführt werden, was die Remotecodeausführung auf dem Server ermöglicht und möglicherweise zu einer vollständigen Übernahme der Website führt.
Jeder authentifizierte Benutzer, einschließlich Abonnenten und alle registrierten Mitglieder, kann CVE-2024-5441 ausnutzen.
Wenn das Plugin so eingestellt ist, dass es die Einreichung von Ereignissen durch Nicht-Mitglieder (Besucher ohne Konten) zulässt, ist CVE-2024-5441 ohne Authentifizierung ausnutzbar.
Webnus hat die Schwachstelle gestern mit der Veröffentlichung der Version 7.12.0 von Modern Event Calendar behoben. Dies ist das empfohlene Upgrade, um das Risiko eines Cyberangriffs zu vermeiden.
Wordfence berichtet jedoch, dass Hacker bereits versuchen, das Problem für Angriffe auszunutzen, und über 100 Versuche in 24 Stunden blockiert haben.
Angesichts der laufenden Ausbeutung sollten Nutzer von Modern Events Calendar und Modern Events Calendar Lite (kostenlose Version) so schnell wie möglich auf die neueste Version aktualisieren oder das Plugin deaktivieren, bis sie das Update durchführen können.
