Plataforma
wordpress
Componente
homey
Corregido en
2.4.3
La vulnerabilidad CVE-2024-12281 representa una seria falla de escalada de privilegios en el plugin Homey para WordPress. Esta falla permite a usuarios no autenticados, al registrar nuevas cuentas, asignar roles administrativos como Editor o Administrador de Tienda, otorgándoles acceso no autorizado a funcionalidades críticas. Afecta a todas las versiones de Homey hasta la 2.4.2 inclusive. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación inmediatas.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante, sin necesidad de autenticación previa, obtener control administrativo sobre un sitio WordPress. Esto puede resultar en la modificación o eliminación de contenido, la instalación de malware, el acceso a datos sensibles de usuarios, y la toma de control completa del sitio web. Un atacante podría, por ejemplo, modificar la configuración del sitio, insertar código malicioso en páginas, o incluso robar información de usuarios almacenada en la base de datos. La facilidad de explotación, al no requerir autenticación, amplía considerablemente el riesgo para los sitios web que utilizan el plugin Homey.
CVE-2024-12281 fue publicado el 5 de marzo de 2025. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. No se ha añadido a KEV a la fecha.
Websites utilizing the Homey plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise on one site could potentially lead to lateral movement and compromise other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'wp_set_role\(\"$wp_user->roles\",' /var/www/html/wp-content/plugins/homey/*• wordpress / composer / npm:
wp plugin list --status=active | grep homey• wordpress / composer / npm:
wp plugin update homey --alldisclosure
Estado del Exploit
EPSS
0.48% (65% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Homey a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir la capacidad de los usuarios nuevos para asignar roles durante el registro. Esto puede lograrse mediante modificaciones en el código del plugin o utilizando plugins de seguridad de WordPress que limiten la creación de cuentas con roles elevados. Monitorear los registros del sitio web en busca de intentos de creación de cuentas con roles sospechosos también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme que la creación de nuevas cuentas no permite la asignación de roles administrativos.
Actualice el tema Homey a la última versión disponible. Esto solucionará la vulnerabilidad de escalada de privilegios que permite a usuarios no autenticados obtener roles de Editor o Shop Manager.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12281 is a critical vulnerability in the Homey WordPress plugin allowing attackers to gain elevated privileges by creating accounts with Editor or Shop Manager roles.
If you are using Homey plugin versions ≤2.4.2, you are affected by this vulnerability. Check your plugin version and update immediately.
Update the Homey plugin to the latest version available. If upgrading is not immediately possible, restrict user registration roles as a temporary workaround.
While no public exploits are currently known, the vulnerability's criticality and ease of exploitation suggest a medium probability of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.