Quelle était la chaîne ?

Hunk Companion's REST API had a missing-authorization flaw (CVE-2024-9707, later CVE-2024-11972) that let unauthenticated attackers install plugins from the WordPress.org repository. Attackers used it to install WP Query Console — a long-abandoned debug plugin whose unauthenticated RCE was never patched (CVE-2024-50498). Two plugins, one chain, full RCE.

Pourquoi était-ce dangereux ?

Hunk Companion shipped with the Hunk theme family on tens of thousands of installs. The chain required no credentials and used a public-repo plugin as the second stage, which meant any site running Hunk Companion in the disclosure window was reachable by any attacker who'd read the writeup.

Comment savoir si j'ai été touché ?

Check whether WP Query Console (slug 'wp-query-console') ever appeared in your active or inactive plugin list, even briefly. Check wp-content/plugins/wp-query-console/ for its files. Check wp_options for entries containing that plugin's name.

Hunk Companion est-il encore nécessaire pour mon thème ?

Si vous utilisez un thème de la famille Hunk, souvent oui. Le plugin a été patché. Nous effectuons d'abord un examen forensique, puis mettons à jour vers la version patchée dans le cadre du nettoyage.

// CVE-2024-9707 · CVE-2024-11972 · INSTALLATION DE PLUGIN → RCE

Hunk Companion exploit cleanup.

Une faille d'autorisation dans Hunk Companion permettait à des attaquants non authentifiés d'installer des plugins depuis le dépôt WordPress.org. Combinée au plugin non patché WP Query Console, cela donne une RCE complète. Exploitation massive fin 2024. Forfait $279 pour le nettoyer. Nous identifions la persistance, supprimons le plugin de seconde étape et durcissons.

Démarrer un nettoyage → À propos de la chaîne

§ 01 — EN QUOI CONSISTAIT LA CHAÎNE

Un bug pour installer un plugin. Un autre bug dans le plugin installé.

Étape 1. Hunk Companion exposait une route REST qui installait des plugins sans vérifier l'autorisation. Versions affectées antérieures à 1.9.0 ; même problème redécouvert dans la plage 1.8.5–1.8.6, conduisant à deux identifiants CVE (CVE-2024-9707 et CVE-2024-11972).

Étape 2. Les attaquants utilisaient l'Étape 1 pour installer WP Query Console, un plugin abandonné de longue date avec une RCE non authentifiée (CVE-2024-50498) qui ne serait jamais patchée car le plugin n'avait plus de mainteneur. Une fois WP Query Console installé, l'exécution de code à distance complète suivait.

§ 02 — INDICATEURS

Ce que nous en faisons

[ PRÉSENCE DE PLUGIN ]
wp-content/plugins/wp-query-console/ — même un dossier vide est un indicateur de compromission. Vérifiez s'il était actif dans wp_options.active_plugins.
[ JOURNAL D'ACCÈS ]
Requêtes POST vers /wp-json/hc/v1/themehunk-import (endpoint d'installation Hunk Companion) depuis des IP externes, entre octobre et décembre 2024.
[ UTILISATEURS ADMIN ]
Administrateurs créés après la RCE de l'Étape 2 — fréquemment avec des noms génériques, parfois déjà avec un secret 2FA pour verrouiller le propriétaire légitime hors du site.
[ FICHIERS ]
Nouveau PHP dans uploads, PHP du core ou du thème modifié, nouveaux mu-plugins.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →