黑客瞄准 15 万个网站使用的 WordPress 日历插件

研究发现，黑客正试图利用现代事件日历 WordPress 插件中的漏洞（该漏洞存在于超过 150,000 个网站上），将任意文件上传到易受攻击的站点并远程执行代码。

该插件由 Webnus 开发，用于组织和管理现场、虚拟或混合活动。

攻击中利用的漏洞被标识为 CVE-2024-5441，并获得了高严重性评分（CVSS v3.1：8.8）。该漏洞由 Friderika Baranyai 于 5 月 20 日在 Wordfence 的 Bug Bounty Extravaganza 期间发现并报告。

在一份描述安全问题的报告中，Wordfence 表示，安全问题源于插件的“set_featured_image”函数缺乏文件类型验证，该函数用于上传和设置事件的特色图片。

该函数获取图像 URL 和帖子 ID，尝试获取附件 ID，如果未找到，则使用 get_web_page 函数下载图像。

它使用 wp_remote_get 或 file_get_contents 检索图像，并使用 file_put_contents 函数将其保存到 WordPress 上传目录。

现代事件日历版本（直至 7.11.0）不检查上传的图像文件中扩展名的文件类型，允许上传任何文件类型，包括有风险的 .PHP 文件。

一旦上传，这些文件就可以被访问和执行，从而可以在服务器上执行远程代码，并可能导致完全的网站接管。

任何经过身份验证的用户（包括订阅者和任何注册会员）均可利用 CVE-2024-5441。如果插件设置为允许非会员（没有帐户的访问者）提交事件，则无需身份验证即可利用 CVE-2024-5441。

Webnus 近日发布了现代事件日历 7.12.0 版本修复了该漏洞，可有效避免网络攻击风险的推荐升级。

然而，Wordfence 报告称，黑客已试图利用该问题进行攻击，并在 24 小时内阻止了 100 多次攻击尝试。

鉴于正在进行的攻击活动，现代事件日历和现代事件日历精简版（免费版）的用户应尽快升级到最新版本或禁用该插件，直到他们可以执行更新。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/