Hunk Companion 插件零日漏洞警告

关键要点

• Hunk Companion 插件存在零日漏洞（CVE-2024-11972），被黑客积极利用。
• 漏洞允许未经授权的 POST 请求安装过期和有漏洞的插件。
• 影响版本为 1.9.0 之前的所有版本，用户需尽快更新以保护网站安全。

近期，
报道称，WordPress 插件 Hunk Companion 存在一个被称为零日漏洞的安全隐患。该漏洞已被攻击者利用，导致用户的网站安装了来自
WordPress.org 仓库的过期且存在安全风险的插件。

这些安装的插件中存在许多 ，例如远程代码执行、SQL注入以及跨站脚本攻击，这些漏洞使得攻击者能够轻松入侵目标网站。

漏洞的唯一标识符为 CVE-2024-11972，攻击者可以利用该漏洞进行未经授权的 POST 请求，从而随意安装插件。Hunk Companion 插件由
ThemeHunk 提供，支持可定制的主题，目前活跃安装量已超过 10,000 次。研究机构 WPScan首先发现了这一漏洞，并观察到攻击者利用此漏洞安装过期的插件，如 WP Query Console，该插件最后一次更新是在七年前。黑客通过这种方式执行恶意
PHP 代码，创建持久后门访问权限，并在网站根目录上传 PHP dropper。

受此漏洞影响的版本是 1.9.0 之前的所有版本，1.9.0 版本已经发布以解决该问题。早前已经修复的相关漏洞 CVE-2024-9707证明无法阻止攻击者，导致修复无效。研究者们强烈建议所有 Hunk Companion 插件用户立即更新至 1.9.0 版本。尽管有补丁，现只有 1,800个网站完成更新，仍有约 8,000 个网站面临进一步被利用的风险。

注意事项 ：请及时检查并更新您的 Hunk Companion 插件，以确保网站安全。