Aanvallers maken actief misbruik van een kwetsbaarheid in de plug-in Hunk Companion voor het aanvallen van WordPress-sites. Via het beveiligingslek kunnen aanvallers een kwetsbare plug-in op de website installeren en via een kwetsbaarheid in deze plug-in dan de website overnemen. Hunk Companion is een plug-in waarmee allerlei extra opties en onderdelen aan WordPress-sites kunnen worden toegevoegd. Meer dan tienduizend websites maken er gebruik van.

Een beveiligingslek in Hunk Companion maakt het mogelijk voor een aanvaller om via de plug-in een kwetsbare plug-in vanuit WordPress.org te installeren. Hiervoor volstaat het versturen van een speciaal geprepareerd request, waarna Hunk Companion de opgegeven kwetsbare plug-in vanaf WordPress.org installeert. Via deze plug-in wordt dan de website overgenomen.

De makers van Hunk Companion kwamen op 10 oktober met een beveiligingsupdate voor het probleem, maar de plug-in bleef kwetsbaar. Twee dagen geleden verscheen versie 1.9.0 waarmee de kwetsbaarheid wel is verholpen, aldus securitybedrijf WPScan. Vele duizenden websites die van Hunk Companion gebruikmaken hebben de update nog niet geïnstalleerd.

Via het beveiligingslek in Hunk Companion installeren de aanvallers een kwetsbare plug-in genaamd WP Query Console die zeven jaar geleden voor het laatst een update ontving. WordPress.org heeft eind oktober de repository van WP Query Console gesloten, maar het is voor aanvallers nog steeds mogelijk om die te installeren en zo PHP-code uit te voeren, waarmee uiteindelijk een backdoor op de aangevallen website wordt geïnstalleerd.