Hacker nehmen WordPress-Kalender-Plugin ins Visier, das von 150.000 Websites genutzt wird

Teilen:

Hacker versuchen, eine Schwachstelle im WordPress-Plugin Modern Events Calendar auszunutzen, das auf mehr als 150.000 Websites vorhanden ist, um beliebige Dateien auf eine verwundbare Website hochzuladen und Code aus der Ferne auszuführen.

Das Plugin wurde von Webnus entwickelt und dient der Organisation und Verwaltung von persönlichen, virtuellen oder hybriden Veranstaltungen.

Die bei den Angriffen ausgenutzte Schwachstelle wird als CVE-2024-5441 identifiziert und erhielt einen hohen Schweregrad (CVSS v3.1: 8.8). Sie wurde am 20. Mai von Friderika Baranyai im Rahmen der Bug Bounty Extravaganza von Wordfence entdeckt und gemeldet.

In einem Bericht, in dem das Sicherheitsproblem beschrieben wird, erklärt Wordfence, dass das Sicherheitsproblem auf eine fehlende Dateityp-Validierung in der Funktion "set_featured_image" des Plugins zurückzuführen ist, die zum Hochladen und Einstellen von Bildern für die Ereignisse verwendet wird.

Die Funktion nimmt eine Bild-URL und eine Post-ID entgegen, versucht, die Anhang-ID zu erhalten, und wenn sie nicht gefunden wird, lädt sie das Bild mit der get_web_page Funktion.

Er ruft das Bild mit Hilfe von wp_remote_get oder file_get_contentsund speichert es im WordPress-Uploads-Verzeichnis mit file_put_contents Funktion.

Moderne Veranstaltungskalender-Versionen bis einschließlich 7.11.0 haben keine Prüfungen für den Dateityp der Erweiterung in hochgeladenen Bilddateien, so dass jeder Dateityp, einschließlich riskanter .PHP-Dateien, hochgeladen werden kann.

Nach dem Hochladen kann auf diese Dateien zugegriffen und sie können ausgeführt werden, was die Remotecodeausführung auf dem Server ermöglicht und möglicherweise zu einer vollständigen Übernahme der Website führt.

Jeder authentifizierte Benutzer, einschließlich Abonnenten und alle registrierten Mitglieder, kann CVE-2024-5441 ausnutzen.

Wenn das Plugin so eingestellt ist, dass es die Einreichung von Ereignissen durch Nicht-Mitglieder (Besucher ohne Konten) zulässt, ist CVE-2024-5441 ohne Authentifizierung ausnutzbar.

Webnus hat die Schwachstelle gestern mit der Veröffentlichung der Version 7.12.0 von Modern Event Calendar behoben. Dies ist das empfohlene Upgrade, um das Risiko eines Cyberangriffs zu vermeiden.

Wordfence berichtet jedoch, dass Hacker bereits versuchen, das Problem für Angriffe auszunutzen, und über 100 Versuche in 24 Stunden blockiert haben.

Angesichts der laufenden Ausbeutung sollten Nutzer von Modern Events Calendar und Modern Events Calendar Lite (kostenlose Version) so schnell wie möglich auf die neueste Version aktualisieren oder das Plugin deaktivieren, bis sie das Update durchführen können.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

lade-bild
London, GB
1:42 am, Feb. 12, 2025
Wetter-Symbol 4°C
L: 3° | H: 5°
overcast clouds
Luftfeuchtigkeit: 91 %
Druck: 1019 mb
Wind: 5 mph NNW
Windböe: 0 mph
UV-Index: 0
Niederschlag: 0 mm
Wolken: 100%
Regen Chance: 0%
Sichtbarkeit: 7 km
Sonnenaufgang: 7:20 am
Sonnenuntergang: 5:09 pm
TäglichStündlich
Tägliche VorhersageStündliche Vorhersage
Today 9:00 pm
Wetter-Symbol
3° | 5°°C 0 mm 0% 5 mph 91 % 1021 mb 0 mm/h
Tomorrow 9:00 pm
Wetter-Symbol
3° | 6°°C 0 mm 0% 9 mph 87 % 1025 mb 0 mm/h
Fr. Feb. 14 9:00 pm
Wetter-Symbol
1° | 6°°C 0 mm 0% 8 mph 81 % 1026 mb 0 mm/h
Sa. Feb. 15 9:00 pm
Wetter-Symbol
1° | 6°°C 0 mm 0% 8 mph 85 % 1024 mb 0 mm/h
So. Feb. 16 9:00 pm
Wetter-Symbol
4° | 8°°C 1 mm 100% 6 mph 95 % 1019 mb 0 mm/h
Today 3:00 am
Wetter-Symbol
4° | 4°°C 0 mm 0% 3 mph 91 % 1018 mb 0 mm/h
Today 6:00 am
Wetter-Symbol
4° | 4°°C 0 mm 0% 3 mph 85 % 1018 mb 0 mm/h
Today 9:00 am
Wetter-Symbol
4° | 4°°C 0 mm 0% 3 mph 81 % 1019 mb 0 mm/h
Today 12:00 pm
Wetter-Symbol
5° | 5°°C 0 mm 0% 3 mph 68 % 1019 mb 0 mm/h
Today 3:00 pm
Wetter-Symbol
6° | 6°°C 0 mm 0% 3 mph 71 % 1019 mb 0 mm/h
Today 6:00 pm
Wetter-Symbol
5° | 5°°C 0 mm 0% 5 mph 76 % 1020 mb 0 mm/h
Today 9:00 pm
Wetter-Symbol
5° | 5°°C 0 mm 0% 5 mph 78 % 1021 mb 0 mm/h
Tomorrow 12:00 am
Wetter-Symbol
3° | 3°°C 0 mm 0% 4 mph 87 % 1022 mb 0 mm/h
Name Preis24H (%)
Bitcoin(BTC)
€92,503.37
-2.20%
Ethereum(ETH)
€2,512.41
-3.65%
Fesseln(USDT)
€0.96
-0.04%
XRP(XRP)
€2.33
-1.88%
Solana(SOL)
€189.74
-3.37%
USDC(USDC)
€0.97
0.00%
Dogecoin(DOGE)
€0.243267
-2.47%
Shiba Inu(SHIB)
€0.000015
-1.91%
Pepe(PEPE)
€0.000010
-3.06%
Nach oben scrollen