¿Cuál fue la cadena?

Hunk Companion's REST API had a missing-authorization flaw (CVE-2024-9707, later CVE-2024-11972) that let unauthenticated attackers install plugins from the WordPress.org repository. Attackers used it to install WP Query Console — a long-abandoned debug plugin whose unauthenticated RCE was never patched (CVE-2024-50498). Two plugins, one chain, full RCE.

¿Por qué era peligroso?

Hunk Companion shipped with the Hunk theme family on tens of thousands of installs. The chain required no credentials and used a public-repo plugin as the second stage, which meant any site running Hunk Companion in the disclosure window was reachable by any attacker who'd read the writeup.

¿Cómo sé si me afectó?

Check whether WP Query Console (slug 'wp-query-console') ever appeared in your active or inactive plugin list, even briefly. Check wp-content/plugins/wp-query-console/ for its files. Check wp_options for entries containing that plugin's name.

¿Sigue siendo necesario Hunk Companion para mi tema?

Si usas un tema de la familia Hunk, normalmente sí. El plugin ya está parcheado. Hacemos primero una revisión forense, después actualizamos a la versión parcheada como parte de la limpieza.

// CVE-2024-9707 · CVE-2024-11972 · INSTALACIÓN DE PLUGIN → RCE

Hunk Companion exploit cleanup.

Un fallo de autorización en Hunk Companion permitía a atacantes no autenticados instalar plugins desde el repositorio de WordPress.org. Combinado con el plugin WP Query Console sin parchear, resulta en RCE completo. Explotación intensa a finales de 2024. Tarifa plana $279 para limpiarlo. Identificamos la persistencia, eliminamos el plugin de segunda etapa y hacemos hardening.

Iniciar limpieza → Sobre la cadena

§ 01 — EN QUÉ CONSISTÍA LA CADENA

Un bug para instalar un plugin. Otro bug en el plugin instalado.

Etapa 1. Hunk Companion exponía una ruta REST que instalaba plugins sin comprobar autorización. Afectadas versiones anteriores a 1.9.0; el mismo problema fue redescubierto en el rango 1.8.5–1.8.6, lo que generó dos identificadores CVE (CVE-2024-9707 y CVE-2024-11972).

Etapa 2. Los atacantes usaron la Etapa 1 para instalar WP Query Console, un plugin abandonado desde hace mucho con un RCE no autenticado (CVE-2024-50498) que nunca iba a ser parcheado porque el plugin no tenía mantenedor. Con WP Query Console instalado, sobrevino la ejecución remota de código completa.

§ 02 — INDICADORES

Qué hacemos con ello

[ PRESENCIA DE PLUGIN ]
wp-content/plugins/wp-query-console/ — incluso una carpeta vacía es un indicador de impacto. Comprueba si estaba activo en wp_options.active_plugins.
[ ACCESS LOG ]
POSTs a /wp-json/hc/v1/themehunk-import (endpoint de instalación de Hunk Companion) desde IPs externas, en octubre–diciembre de 2024.
[ USUARIOS ADMIN ]
Administradores creados tras el RCE de la Etapa 2 — frecuentemente con nombres genéricos, a veces ya con un secreto 2FA para dejar fuera al propietario legítimo.
[ ARCHIVOS ]
PHP recién creado en uploads, PHP de core o tema modificado, nuevos mu-plugins.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →