Atacantes estão explorando uma grave vulnerabilidade no plugin Hunk Companion para WordPress, identificada como CVE-2024-11972 (pontuação CVSS: 9.8), para instalar outros plugins vulneráveis que facilitam diversos tipos de ataques. O plugin, que possui mais de 10.000 instalações ativas, está vulnerável em todas as versões anteriores à 1.9.0. De acordo com a WPScan, a falha permite que invasores instalem ou ativem plugins desatualizados ou abandonados, os quais podem ser explorados para execução remota de código (RCE), injeção de SQL, cross-site scripting (XSS) e criação de backdoors administrativos.

Além disso, atacantes podem utilizar esses plugins para contornar medidas de segurança, modificar registros de banco de dados e controlar completamente os sites comprometidos. Uma análise realizada pela WPScan revelou que a falha tem sido usada para instalar o plugin WP Query Console, atualmente removido, mas que contém uma vulnerabilidade de RCE crítica (CVE-2024-50498, CVSS: 10.0) ainda não corrigida. O ataque ocorre em uma cadeia de exploração que envolve uma falha previamente corrigida no Hunk Companion (CVE-2024-9707), demonstrando como múltiplas vulnerabilidades podem ser combinadas para obter acesso e controle total de sites WordPress.

A origem do problema está no script “hunk-companion/import/app/app.php”, que permite requisições não autenticadas ignorarem verificações de permissão para instalar plugins. Essa combinação de falhas destaca o perigo de não corrigir vulnerabilidades conhecidas em plugins de terceiros, que frequentemente se tornam pontos de entrada críticos para invasores.