Güvenlik araştırmacıları, popüler bir WordPress eklentisi olan Hunk Companion‘daki kritik bir güvenlik açığının aktif olarak istismar edildiğini duyurdu. CVE-2024-11972 olarak izlenen bu açık, kimlik doğrulaması olmadan kötü amaçlı kodların yürütülmesine imkan tanıyor ve 10 üzerinden 9,8’lik bir önem derecesine sahip. Ancak, yayınlanan yamaya rağmen eklenti kullanıcılarının yalnızca yüzde 12’si güncellemeyi uyguladı. Bu durum, yaklaşık 9 bin sitenin saldırılara açık olduğu anlamına geliyor.
WP Scan güvenlik firmasında çalışan araştırmacı Daniel Rodriguez, “Bu açık, hem ThemeHunk teması hem de Hunk Companion eklentisini kullanan siteleri hedef alıyor. Binlerce site, kimlik doğrulaması gerekmeyen saldırılarla ciddi bir risk altında” açıklamasını yaptı. Güvenlik açığının, sitelerin otomatik olarak güncellenmeyen başka bir eklenti olan WP Query Console’u indirmesine neden olduğu ve ardından bu eklentideki açıkların istismar edildiği belirtildi.
WP Query Console eklentisinde yer alan başka bir güvenlik açığı (CVE-2024-50498) ise 10 üzerinden tam bir önem puanına sahip. Saldırganların özel bir WordPress URL’si kullanarak, yıllardır güncellenmeyen bu eklentiyi indirip etkinleştirdiği ve kötü amaçlı kodlar çalıştırdığı ifade edildi.
Hunk Companion eklentisinin 1.9.0 sürümünde yayınlanan yama, bu kritik açığı kapatıyor. Ancak, WP Scan’in sağladığı verilere göre, bu yamayı yükleyen kullanıcıların oranı yalnızca yüzde 12 seviyesinde kaldı.
