Luka, suivi comme CVE-2024-11972situé dans Compagnon de beau gosseun plugin qui fonctionne sur plus de 10 000 sites Web utilisant un système de gestion de contenu WordPress. La vulnérabilité a reçu une note de gravité extrêmement élevée de 9,8 sur 10, fournie par le fabricant, indiquant que la nouvelle version du plugin avec la vulnérabilité corrigée a été installée sur seulement 12 % des sites Web.
« Cette vulnérabilité constitue une menace importante et à multiples facettes affectant les sites qui utilisent à la fois le thème ThemeHunk et le plugin Hunk Companion.» a écrit Daniel Rodriguez, chercheur chez la société de sécurité WordPress WP Scan. « Avec plus de 10 000 installations actives, cela a exposé des milliers de sites Web à des attaques anonymes et non authentifiées qui peuvent sérieusement compromettre leur intégrité.« .
Rodriquez a ajouté que WP Scan a découvert la vulnérabilité lors de l'analyse d'une compromission du site Web d'un client. La société a découvert que le vecteur initial était CVE-2024-11972. L'exploit a permis aux pirates à l'origine de l'attaque d'accéder automatiquement à wordpress.org et de télécharger WP Query Console, un plugin qui n'avait pas été mis à jour depuis des années..
