Les pirates tentent d’exploiter une vulnérabilité du plugin WordPress Modern Events Calendar présent sur plus de 150 000 sites Web pour télécharger des fichiers arbitraires sur un site vulnérable et exécuter du code à distance.

Le plugin est développé par Webnus et est utilisé pour organiser et gérer des événements en personne, virtuels ou hybrides.

La vulnérabilité exploitée dans les attaques est identifiée comme CVE-2024-5441 et a reçu un score de gravité élevé (CVSS v3. 1: 8.8). Il a été découvert et signalé de manière responsable le 20 mai par Friderika Baranyai lors de l’extravagance Bug Bounty de Wordfence.

Dans un rapport décrivant le problème de sécurité, Wordfence indique que le problème de sécurité provient d’un manque de validation du type de fichier dans la fonction ‘set_featured_image’ du plugin, utilisée pour télécharger et définir les images présentées pour les événements.

La fonction prend une URL d’image et un identifiant de publication, essaie d’obtenir l’identifiant de la pièce jointe et, si elle n’est pas trouvée, télécharge l’image à l’aide de la fonction get_web_page.

Il récupère l’image à l’aide de wp_remote_get ou file_get_contents, et l’enregistre dans le répertoire des téléchargements WordPress à l’aide de la fonction file_put_contents.

Les versions modernes du calendrier des événements jusqu’à la version 7.11.0 incluse ne vérifient pas le type d’extension de fichier dans les fichiers image téléchargés, ce qui permet tout type de fichier, y compris risqué .Fichiers PHP, à télécharger.

Une fois téléchargés, ces fichiers peuvent être consultés et exécutés, permettant l’exécution de code à distance sur le serveur et conduisant potentiellement à une reprise complète du site Web.

Tout utilisateur authentifié, y compris les abonnés et les membres enregistrés, peut exploiter CVE-2024-5441.

Si le plugin est configuré pour autoriser les soumissions d’événements de non-membres (visiteurs sans comptes), CVE-2024-5441 est exploitable sans authentification.

Webnus a corrigé la vulnérabilité hier en publiant la version 7.12.0 de Modern Event Calendar, qui est la mise à niveau recommandée pour éviter le risque d’une cyberattaque.

Cependant, Wordfence rapporte que les pirates tentent déjà de tirer parti du problème lors d’attaques, bloquant plus de 100 tentatives en 24 heures.

Compte tenu des efforts d’exploitation en cours, les utilisateurs du Calendrier des événements Modernes et du Calendrier des événements Modernes Lite (version gratuite) doivent passer à la dernière version dès que possible ou désactiver le plugin jusqu’à ce qu’ils puissent effectuer la mise à jour.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *