Los hackers están aprovechándose de una vulnerabilidad en el plugin Modern Events Calendar de WordPress, presente en más de 150,000 sitios web, para subir archivos arbitrarios y ejecutar código de forma remota.
Desarrollado por Webnus, este complemento se utiliza para organizar eventos presenciales, virtuales o híbridos.
La vulnerabilidad, identificada como CVE-2024-5441, recibió una puntuación de alta gravedad (CVSS v3.1: 8.8).
Fue descubierta y reportada de manera responsable el 20 de mayo por Friderika Baranyai durante el Bug Bounty Extravaganza de Wordfence.
Según un informe de Wordfence, la falla se debe a la falta de validación del tipo de archivo en la función ‘set_featured_image’, usada para subir y configurar imágenes destacadas para eventos.
Esta función toma una URL de imagen y una ID de publicación, obtiene la ID de adjunto, y si no se encuentra, descarga la imagen con la función get_web_page. Luego, guarda la imagen en el directorio de cargas de WordPress usando file_put_contents.
Las versiones de Modern Events Calendar hasta e incluyendo la 7.11.0 no verifican el tipo de archivo o la extensión de los archivos subidos, permitiendo que se suban archivos peligrosos como .PHP.
Una vez subidos, estos archivos pueden ser ejecutados, permitiendo la ejecución remota de código en el servidor y potencialmente la toma completa del sitio web.
Cualquier usuario autenticado, incluidos suscriptores y miembros registrados, puede aprovecharse de CVE-2024-5441.
Si el complemento permite la presentación de eventos por parte de no miembros, la vulnerabilidad es explotable sin autenticación.
Webnus solucionó la vulnerabilidad al lanzar la versión 7.12.0 de Modern Events Calendar, recomendada para evitar el riesgo de un ciberataque.
Sin embargo, Wordfence informa que los hackers ya están intentando aprovechar el problema, bloqueando más de 100 intentos en 24 horas.
Dado el esfuerzo de explotación en curso, los usuarios de Modern Events Calendar y Modern Events Calendar Lite deben actualizar a la última versión lo antes posible o desactivar el complemento hasta que puedan actualizar.
