Un grupo de hackers están tratando de explotar una vulnerabilidad en el plugin Modern Events Calendar WordPress que está presente en más de 150.000 sitios web para cargar archivos arbitrarios en un sitio vulnerable y ejecutar código de forma remota.
El plugin está desarrollado por Webnus y se utiliza para organizar y gestionar eventos presenciales, virtuales o híbridos.
Análisis
Wordfence afirma que el problema de seguridad se debe a una falta de validación del tipo de archivo en la función que se utiliza para subir y configurar las imágenes destacadas de los eventos.
Las versiones hasta la 7.11.0 inclusive no tienen comprobaciones del tipo de extensión de los archivos de imagen subidos, permitiendo subir cualquier tipo de archivo, incluidos los arriesgados archivos .PHP.
Una vez subidos, se puede acceder a estos archivos y ejecutarlos, lo que permite la ejecución remota de código en el servidor y, potencialmente, el control total del sitio web.
Se le ha asignado el identificador CVE-2024-5441 y se ha categorizado como alta con un CVSS v3.1 de 8.8.
Versiones afectadas
Versiones anteriores e incluyendo la 7.11.0.
Recomendaciones
Actualizar a la versión 7.12.0
Referencias
https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/