ГлавнаяБаза уязвимостей БДУ → BDU:2024-11316
10критическая

BDU:2024-11316 (CVE-2024-11972)

Уязвимость функции permission_callback плагина Hunk Companion системы управления содержимым сайта WordPress, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
Опубликовано: 2024-12-19
Описание

Уязвимость функции permission_callback плагина Hunk Companion системы управления содержимым сайта WordPress связана с отсутствием авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS)

Затрагиваемое ПО и версии
Hunk Companion (до 1.9.0)
Способ устранения

Использование рекомендаций:
https://wpscan.com/vulnerability/4963560b-e4ae-451d-8f94-482779c415e4/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/JunTakemura/exploit-CVE-2024-11972https://securityonline.info/active-exploitation-observed-for-cve-2024-11972-cvss-9-8-wordpress-plugin-flaw-exposes-10000-sites-to-backdoor-attacks/https://xakep.ru/2024/12/13/hunk-companion-attacks/https://wpscan.com/vulnerability/4963560b-e4ae-451d-8f94-482779c415e4/https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/
Проверьте безопасность своего сайта и почты → Полная проверка домена