Selon Wordfence (billet de blog cité en référence), une campagne d’exploitation à grande échelle cible des vulnérabilités d’installation arbitraire de plugins dans GutenKit et Hunk Companion, deux extensions WordPress totalisant plus de 48 000 installations actives.
⚠️ Les attaquants, sans authentification, abusent d’endpoints REST API exposés dont le permission_callback est défini à __return_true, permettant l’installation de plugins malveillants et une exécution de code à distance (RCE). Wordfence indique avoir bloqué plus de 8,7 millions de tentatives depuis le déploiement de règles de pare-feu. La campagne a repris le 8 octobre 2025, environ un an après la divulgation initiale, montrant un intérêt persistant pour ces failles non corrigées.
xploitation massive de failles critiques dans les plugins WordPress GutenKit et Hunk Companion
Le 25 septembre et le 3 octobre 2024, des chercheurs ont signalé via le programme de bug bounty Wordfence deux vulnérabilités critiques d’installation arbitraire de plugins dans les extensions WordPress GutenKit (40 000 installations actives) et Hunk Companion (8 000 installations).
Ces failles permettent à des attaquants non authentifiés d’installer et d’activer des plugins arbitraires, ouvrant la voie à une exécution de code à distance (RCE). Malgré des correctifs publiés il y a un an, les attaques massives ont repris le 8 octobre 2025, avec plus de 8,7 millions de tentatives bloquées par le pare-feu Wordfence.
Les analyses montrent que le problème provient d’un manque de vérification des permissions dans les fonctions REST API install_and_activate_plugin_from_external() (GutenKit) et tp_install() (Hunk Companion). Ces endpoints sont publiquement accessibles, permettant l’installation de fichiers malveillants déguisés en plugins.
Certains scripts observés incluent des backdoors, des gestionnaires de fichiers et des outils de défacement ou d’exfiltration de données.
Les attaques proviennent notamment des adresses IP 13.218.47.110, 3.141.28.47, 119.34.179.21, et ciblent les routes REST suivantes :
/wp-json/gutenkit/v1/install-active-plugin et /wp-json/hc/v1/themehunk-import.
Les fichiers malveillants identifiés incluent des dossiers tels que up, ultra-seo-processor-wp et background-image-cropper.
Wordfence rappelle que les utilisateurs de Wordfence Premium, Care et Response ont été protégés dès septembre et octobre 2024, tandis que la version gratuite a reçu les règles de pare-feu avec 30 jours de retard.
Les administrateurs sont fermement invités à mettre à jour immédiatement leurs sites vers GutenKit 2.1.1 et Hunk Companion 1.9.0, et à vérifier leurs répertoires de plugins et journaux d’accès pour détecter toute compromission.
🧠 TTPs et IOCs détectés
TTPs
Exploitation d’une API REST WordPress non protégée pour installer et activer des plugins arbitraires.
Utilisation de plugins spécialement conçus pour télécharger, exécuter et masquer du code malveillant (tels que “up.zip”, “background-image-cropper.zip”, etc.).
Usage de scripts PHP obfusqués (comme vv.php) camouflés en headers PDF, facilitant la persistance, le défacement, et le contrôle à distance.
Installation de scripts de gestion de fichiers qui changent les permissions, téléchargent ou effacent des fichiers, et zippent des dossiers pour extraire les données.
Exploitation de vulnérabilités dans des plugins légitimes, tel que wp-query-console, pour effectuer une escalade post-exploitation.
Mass scanning/attaque automatisée depuis plusieurs IP, ciblant les endpoints REST API concernés.
Utilisation de domaines externes pour héberger les ZIP malveillants à installer via les plugins vulnérables.
IOCs
Présence de plugins suspects ou inconnus dans /wp-content/plugins ou /wp-content/upgrade tel que “up.zip”, “background-image-cropper.zip”, “ultra-seo-processor-wp.zip”, “oke.zip”.
Présence de fichiers PHP avec headers PDF ou scripts obfusqués, ex : vv.php.
🔗 Source originale : https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/