CVE-2024-9707 · CVE-2024-11972 · INSTALLATION DE PLUGIN → RCE
Hunk Companion exploit cleanup.
Une faille d'autorisation dans Hunk Companion permettait à des attaquants non authentifiés d'installer des plugins depuis le dépôt WordPress.org. Combinée au plugin non patché WP Query Console, cela donne une RCE complète. Exploitation massive fin 2024. Forfait $279 pour le nettoyer. Nous identifions la persistance, supprimons le plugin de seconde étape et durcissons.
EN QUOI CONSISTAIT LA CHAÎNE
Un bug pour installer un plugin. Un autre bug dans le plugin installé.
Étape 1. Hunk Companion exposait une route REST qui installait des plugins sans vérifier l'autorisation. Versions affectées antérieures à 1.9.0 ; même problème redécouvert dans la plage 1.8.5–1.8.6, conduisant à deux identifiants CVE (CVE-2024-9707 et CVE-2024-11972).
Étape 2. Les attaquants utilisaient l'Étape 1 pour installer WP Query Console, un plugin abandonné de longue date avec une RCE non authentifiée (CVE-2024-50498) qui ne serait jamais patchée car le plugin n'avait plus de mainteneur. Une fois WP Query Console installé, l'exécution de code à distance complète suivait.
INDICATEURS
Ce que nous en faisons
PRÉSENCE DE PLUGIN
wp-content/plugins/wp-query-console/ — même un dossier vide est un indicateur de compromission. Vérifiez s'il était actif dans wp_options.active_plugins.
JOURNAL D'ACCÈS
Requêtes POST vers /wp-json/hc/v1/themehunk-import (endpoint d'installation Hunk Companion) depuis des IP externes, entre octobre et décembre 2024.
UTILISATEURS ADMIN
Administrateurs créés après la RCE de l'Étape 2 — fréquemment avec des noms génériques, parfois déjà avec un secret 2FA pour verrouiller le propriétaire légitime hors du site.
FICHIERS
Nouveau PHP dans uploads, PHP du core ou du thème modifié, nouveaux mu-plugins.
Tarifs
Cleanup
$279
flat, one-time, per site
Manual cleanup, entry-vector identification, written forensic report.
Démarrer un nettoyageMonitoring
$29 / mo
per site, cancel any time
Surveillance continue, durcissement, un nettoyage par an inclus.
Se protégerPart of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.
Voir tous les services →E-mail [email protected] or use the contact form.