关键WordPress RCE漏洞复现:超过870万次攻击利用GutenKit和Hunk Companion
Wordfence威胁情报团队发布新警告,针对WordPress插件GutenKit和Hunk Companion中三个关键漏洞(CVE-2024-9234、CVE-2024-9707和CVE-2024-11972)的大规模攻击重新出现。这些漏洞的CVSS评分均为9.8,允许未经身份验证的攻击者安装和激活任意插件,可能导致远程代码执行(RCE)。
“我们的记录显示,攻击者最近于2025年10月8日重新开始大规模利用这些漏洞,大约一年后,”Wordfence报告称。“Wordfence防火墙已拦截超过8,755,000次针对这些漏洞的攻击尝试。”
受影响的漏洞
受影响的插件:
- GutenKit - Gutenberg块编辑器的页面构建器块、模式和模板(40,000+活跃安装)
- Hunk Companion(8,000+活跃安装)
两个插件都包含不安全的REST API端点,缺乏适当的能力检查,允许任何具有网络访问权限的人安装和激活任意插件——包括设计用于上传文件、后门或执行任意PHP代码的恶意插件。
“不幸的是,此REST API端点注册的权限检查设置为true。这意味着此REST API端点可公开访问,”Wordfence解释道。“未经身份验证的攻击者可以调用REST API端点并从远程源安装插件,实现远程代码执行。”
技术细节
在GutenKit(CVE-2024-9234)的情况下,易受攻击的端点/wp-json/gutenkit/v1/install-active-plugin使用函数install_and_activate_plugin_from_external()而没有任何身份验证控制。攻击者只需向此端点发送带有恶意ZIP文件链接的POST请求,例如:
|
|
此文件托管在GitHub上,包含伪装成合法WordPress插件的深度混淆PHP脚本。
Wordfence分析发现,其中一个恶意文件vv.php以有效的PDF头开始,但包含恶意PHP代码,执行多个函数调用,包括字符串反转、解压缩和有效负载转换。
解码后,它显示了一个远程终端、篡改工具包和网络嗅探功能。
Hunk Companion插件(CVE-2024-9707和CVE-2024-11972)通过/wp-json/hc/v1/themehunk-import端点存在几乎相同的问题,其中权限回调也设置为__return_true。这允许未经身份验证的插件安装,如果与其他易受攻击的插件链接,可能随后触发远程代码执行。
攻击规模
Wordfence观察到数百万次针对这些端点的攻击尝试,最新的激增发生在2025年10月初。攻击者似乎利用由受感染服务器和云实例组成的僵尸网络来自动化攻击全球易受攻击的WordPress网站。
顶级攻击IP地址:
- 13.218.47.110 — 超过82,900次被拦截请求
- 3.10.141.23 — 超过82,400次被拦截请求
- 52.56.47.51 — 超过81,100次被拦截请求
- 18.219.237.98 — 超过75,600次被拦截请求
- 3.141.28.47 — 超过349,900次请求(专门针对Hunk Companion)
攻击技术
攻击者还尝试安装已知易受攻击的插件,如wp-query-console(本身具有未修补的RCE漏洞),以链接漏洞利用实现持久性和权限升级。
“拥有多个后门比拥有一个更好,”Wordfence警告。“此外,这些文件管理器可用于上传更多恶意软件。”
这些攻击丢弃的恶意插件通常包括多个后门和文件管理实用程序,使攻击者能够:
- 从WordPress目录上传或删除文件
- 更改文件权限和所有权
- 外泄站点数据
- 部署额外的Web shell或有效负载
Wordfence还发现了伪造的插件名称,如:
- background-image-cropper
- ultra-seo-processor-wp
- oke
- up
每个都是包含混淆文件上传器和命令执行工具的恶意ZIP。
防护建议
Wordfence强烈建议所有使用这些插件的WordPress管理员立即更新:
- GutenKit ≥ 2.1.1
- Hunk Companion ≥ 1.9.0
管理员还应:
- 检查
/wp-content/plugins/和/wp-content/upgrade/中的未知目录 - 检查访问日志中对以下内容的可疑请求:
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
- 阻止来自Wordfence咨询中列出的恶意IP的重复请求