Plataforma
wordpress
Componente
buddypress
Corregido en
14.3.4
14.3.4
La vulnerabilidad CVE-2024-11976 afecta al plugin BuddyPress para WordPress, permitiendo la ejecución arbitraria de shortcodes. Esta falla se debe a una validación insuficiente de valores antes de ejecutar la función do_shortcode, lo que permite a atacantes no autenticados inyectar y ejecutar código malicioso. Las versiones afectadas son todas las inferiores o iguales a 14.3.3. Se recomienda actualizar a la versión 14.3.4 para mitigar el riesgo.
La ejecución arbitraria de shortcodes representa un riesgo significativo para sitios web que utilizan BuddyPress. Un atacante podría inyectar shortcodes maliciosos para ejecutar código PHP arbitrario en el servidor, comprometiendo la integridad y confidencialidad del sitio. Esto podría resultar en la exfiltración de datos sensibles, la modificación del contenido del sitio, la instalación de puertas traseras o incluso el control total del servidor. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía su alcance, permitiendo a atacantes anónimos causar daño. La vulnerabilidad se asemeja a otras ejecuciones de código arbitrarias en WordPress, donde la falta de validación de entrada es la causa principal.
La vulnerabilidad fue publicada el 22 de enero de 2026. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero su gravedad y la facilidad de explotación sugieren que podría ser un objetivo para atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La vulnerabilidad no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción.
WordPress websites utilizing the BuddyPress plugin, particularly those running versions prior to 14.3.4, are at risk. Shared hosting environments are especially vulnerable, as a compromised BuddyPress installation on one site could potentially impact others on the same server. Sites with custom shortcode implementations or plugins that interact with BuddyPress are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/buddypress/• wordpress / composer / npm:
wp plugin list --status=active | grep buddypress• wordpress / composer / npm:
wp plugin update buddypress --all• generic web: Check for unusual shortcode usage in website content, particularly in areas accessible to unauthenticated users.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar BuddyPress a la versión 14.3.4 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar mitigaciones temporales. Deshabilitar temporalmente el plugin BuddyPress es una opción, aunque afectará la funcionalidad del sitio. Otra mitigación es restringir el acceso a la función do_shortcode a usuarios autenticados con roles específicos. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan shortcodes sospechosos también puede ayudar a reducir el riesgo. Monitorear los logs del servidor en busca de patrones de ejecución de shortcodes inusuales es crucial.
Actualizar a la versión 14.3.4, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-11976 is a HIGH severity vulnerability in the BuddyPress plugin for WordPress, allowing unauthenticated attackers to execute arbitrary shortcodes.
Yes, if you are using BuddyPress versions 14.3.3 or earlier, you are affected by this vulnerability.
Upgrade BuddyPress to version 14.3.4 or later to remediate the vulnerability. If immediate upgrade is not possible, temporarily disable the plugin.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the official BuddyPress website and WordPress security announcements for the latest information and advisory regarding CVE-2024-11976.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.