Des pirates informatiques tentent d'exploiter une vulnérabilité dans le plugin WordPress Modern Events Calendar, présent sur plus de 150 000 sites Web, pour télécharger des fichiers arbitraires sur un site vulnérable et exécuter du code à distance.

Le plugin est développé par Webnus et est utilisé pour organiser et gérer des événements en personne, virtuels ou hybrides.

La vulnérabilité exploitée dans les attaques est identifiée comme CVE-2024-5441 et a reçu un score de gravité élevé (CVSS v3.1 : 8,8). Elle a été découverte et signalée de manière responsable le 20 mai par Friderika Baranyai lors du Bug Bounty Extravaganza de Wordfence.

Dans un rapport décrivant le problème de sécurité, Wordfence indique que le problème de sécurité provient d'un manque de validation du type de fichier dans la fonction « set_featured_image » du plugin, utilisée pour télécharger et définir des images en vedette pour les événements.

La fonction prend une URL d'image et un ID de publication, essaie d'obtenir l'ID de pièce jointe et, si elle ne le trouve pas, télécharge l'image à l'aide de l' obtenir_une_page_web fonction.

Il récupère l'image en utilisant wp_remote_get ou fichier_obtenir_contenuet l'enregistre dans le répertoire de téléchargements WordPress à l'aide de fichier_mettre_contenu fonction.

Les versions du calendrier des événements modernes jusqu'à la version 7.11.0 incluse ne vérifient pas le type de fichier ou l'extension dans les fichiers image téléchargés, ce qui permet de télécharger n'importe quel type de fichier, y compris les fichiers .PHP risqués.

Une fois téléchargés, ces fichiers peuvent être consultés et exécutés, ce qui permet l'exécution de code à distance sur le serveur et peut potentiellement conduire à une prise de contrôle complète du site Web.

Tout utilisateur authentifié, y compris les abonnés et les membres enregistrés, peut exploiter CVE-2024-5441.

Si le plugin est configuré pour autoriser les soumissions d'événements par des non-membres (visiteurs sans compte), CVE-2024-5441 est exploitable sans authentification.

Webnus a corrigé la vulnérabilité hier en publiant la version 7.12.0 de Modern Event Calendar, qui est la mise à niveau recommandée pour éviter le risque d'une cyberattaque.

Cependant, Wordfence rapporte que les pirates informatiques tentent déjà d'exploiter le problème dans des attaques, en bloquant plus de 100 tentatives en 24 heures.

Compte tenu des efforts d'exploitation en cours, les utilisateurs de Modern Events Calendar et Modern Events Calendar Lite (version gratuite) doivent mettre à niveau vers la dernière version dès que possible ou désactiver le plugin jusqu'à ce qu'ils puissent effectuer la mise à jour.