Wie sah die Kette aus?

Hunk Companion's REST API had a missing-authorization flaw (CVE-2024-9707, later CVE-2024-11972) that let unauthenticated attackers install plugins from the WordPress.org repository. Attackers used it to install WP Query Console — a long-abandoned debug plugin whose unauthenticated RCE was never patched (CVE-2024-50498). Two plugins, one chain, full RCE.

Warum war das gefährlich?

Hunk Companion shipped with the Hunk theme family on tens of thousands of installs. The chain required no credentials and used a public-repo plugin as the second stage, which meant any site running Hunk Companion in the disclosure window was reachable by any attacker who'd read the writeup.

Woran erkenne ich, ob ich getroffen wurde?

Check whether WP Query Console (slug 'wp-query-console') ever appeared in your active or inactive plugin list, even briefly. Check wp-content/plugins/wp-query-console/ for its files. Check wp_options for entries containing that plugin's name.

Wird Hunk Companion noch für mein Theme benötigt?

Wenn du ein Theme aus der Hunk-Familie nutzt, oft ja. Das Plugin wurde gepatcht. Wir machen zuerst eine forensische Prüfung und aktualisieren dann als Teil der Bereinigung auf die gepatchte Version.

// CVE-2024-9707 · CVE-2024-11972 · PLUGIN-INSTALL → RCE

Hunk Companion exploit cleanup.

Eine Autorisierungs-Schwachstelle in Hunk Companion ließ unauthentifizierte Angreifer Plugins aus dem WordPress.org-Repo installieren. Kombiniert mit dem ungepatchten WP Query Console ergibt das volle RCE. Heftige Ausnutzung Ende 2024. Pauschal $279 für die Bereinigung. Wir identifizieren Persistenz, entfernen das Second-Stage-Plugin und härten ab.

Bereinigung starten → Über die Kette

§ 01 — WAS DIE KETTE WAR

Ein Bug, um ein Plugin zu installieren. Ein weiterer Bug im installierten Plugin.

Stufe 1. Hunk Companion exponierte eine REST-Route, die Plugins ohne Autorisierungsprüfung installierte. Betroffene Versionen vor 1.9.0; dasselbe Problem im Bereich 1.8.5–1.8.6 wiederentdeckt, was zu zwei CVE-IDs (CVE-2024-9707 und CVE-2024-11972) führte.

Stufe 2. Angreifer nutzten Stufe 1, um WP Query Console zu installieren — ein lange aufgegebenes Plugin mit unauthentifizierter RCE (CVE-2024-50498), die nie gepatcht werden würde, weil das Plugin keinen Maintainer hat. Mit installiertem WP Query Console folgte volle Remote Code Execution.

§ 02 — INDIKATOREN

Was wir damit tun

[ PLUGIN VORHANDEN ]
wp-content/plugins/wp-query-console/ — selbst ein leerer Ordner ist ein Treffer-Indikator. Prüfe, ob es in wp_options.active_plugins aktiv war.
[ ZUGRIFFSLOG ]
POSTs an /wp-json/hc/v1/themehunk-import (Hunk-Companion-Install-Endpoint) von externen IPs zwischen Oktober und Dezember 2024.
[ ADMIN-NUTZER ]
Administratoren, die nach Stufe-2-RCE angelegt wurden — oft mit generischen Namen, manchmal bereits mit 2FA-Secret, um den legitimen Eigentümer auszusperren.
[ DATEIEN ]
Frisches PHP in Uploads, modifizierte Core- oder Theme-PHP-Dateien, neue mu-plugins.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →