Plataforma
wordpress
Componente
homey-login-register
Corregido en
2.4.1
CVE-2024-11951 describe una vulnerabilidad de elevación de privilegios en el plugin Homey Login Register para WordPress. Esta falla permite a atacantes no autenticados asignar roles de administrador a nuevas cuentas durante el registro, otorgándoles control administrativo sobre el sitio. La vulnerabilidad afecta a todas las versiones del plugin hasta la 2.4.0. Se recomienda actualizar a una versión corregida o aplicar medidas de mitigación.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener acceso completo al sitio WordPress con privilegios de administrador. Esto significa que pueden modificar contenido, instalar o desinstalar plugins, cambiar la configuración del sitio, e incluso eliminar datos. El impacto es significativo, ya que compromete la integridad y confidencialidad del sitio web. Un atacante podría utilizar esta vulnerabilidad para realizar ataques de phishing, inyectar malware, o simplemente tomar el control del sitio para fines maliciosos. La falta de autenticación necesaria para asignar roles de administrador facilita enormemente la explotación.
El CVE-2024-11951 fue publicado el 5 de marzo de 2025. No se ha reportado su inclusión en el KEV de CISA. Aunque no se conocen públicamente pruebas de explotación activa, la alta puntuación CVSS (9.8) indica una alta probabilidad de explotación si se dispone de un proof-of-concept. La facilidad de explotación, dada la falta de autenticación, aumenta el riesgo.
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
Estado del Exploit
EPSS
0.48% (65% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Homey Login Register a una versión corregida que elimine la posibilidad de asignar roles de administrador durante el registro. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al formulario de registro para usuarios no autenticados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten asignar el rol de administrador a nuevas cuentas. Monitorear los logs del sitio WordPress en busca de intentos sospechosos de creación de cuentas con roles elevados también puede ayudar a detectar y prevenir ataques.
Actualice el plugin Homey Login Register a la última versión disponible. Esto solucionará la vulnerabilidad de escalada de privilegios que permite a usuarios no autenticados obtener acceso de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11951 is a critical vulnerability in the Homey Login Register WordPress plugin allowing attackers to gain administrator privileges during account registration.
You are affected if your WordPress site uses the Homey Login Register plugin version 2.4.0 or earlier. Check your plugin versions immediately.
Upgrade the Homey Login Register plugin to the latest available version that addresses the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Homey Login Register plugin website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.