Plataforma
wordpress
Componente
woocommerce-products-filter
Corregido en
1.3.7
La vulnerabilidad CVE-2024-43121, clasificada como de severidad crítica, es una falla de Gestión Inadecuada de Privilegios descubierta en el plugin HUSKY para WordPress. Esta falla permite a un atacante escalar privilegios, obteniendo acceso no autorizado a funcionalidades y datos sensibles. Afecta a las versiones del plugin HUSKY anteriores o iguales a 1.3.6.1. Se recomienda actualizar a la versión 1.3.7 para solucionar este problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante obtener privilegios elevados dentro del entorno WordPress. Esto podría resultar en la toma de control completa del sitio web, incluyendo la modificación o eliminación de contenido, la instalación de malware, el acceso a información confidencial de usuarios (como credenciales de inicio de sesión o datos personales) y la ejecución de código arbitrario en el servidor. Un atacante podría utilizar esta vulnerabilidad para comprometer la integridad y confidencialidad de la aplicación y los datos asociados, causando daños significativos a la reputación y la operación del negocio. La naturaleza de la gestión de privilegios inadecuada sugiere un riesgo de escalada de privilegios significativo, similar a vulnerabilidades que permiten a usuarios no autorizados acceder a funciones administrativas.
El CVE-2024-43121 fue publicado el 13 de agosto de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la alta severidad (CVSS 9.1) indica un riesgo significativo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación activa.
WordPress websites utilizing the HUSKY plugin, particularly those running versions prior to 1.3.7, are at risk. Shared hosting environments where multiple websites share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Websites with weak user access controls or those that have not been regularly updated are also at increased risk.
• wordpress / composer / npm:
wp plugin list --status=inactive | grep husky• wordpress / composer / npm:
wp plugin update husky --all• wordpress / composer / npm:
wp plugin status husky• generic web: Check WordPress access logs for unusual user activity or attempts to access administrative functions from unauthorized IP addresses.
disclosure
Estado del Exploit
EPSS
0.36% (58% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-43121 es actualizar el plugin HUSKY a la versión 1.3.7 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de aplicar la actualización. Como medida temporal, si la actualización no es posible de inmediato, revise cuidadosamente los permisos de usuario y limite el acceso a las funcionalidades críticas del sitio. Aunque no hay firmas Sigma o YARA específicas disponibles, monitorear los logs de WordPress en busca de actividad sospechosa relacionada con la gestión de usuarios y permisos puede ayudar a detectar intentos de explotación.
Actualice el plugin HUSKY a la última versión disponible. La vulnerabilidad de escalada de privilegios se ha corregido en versiones posteriores a la 1.3.6.1. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43121 is a critical vulnerability in the HUSKY WordPress plugin that allows attackers to gain elevated privileges, potentially compromising the entire site. It affects versions up to 1.3.6.1.
Yes, if you are using the HUSKY WordPress plugin and have not upgraded to version 1.3.7 or later, you are vulnerable to this privilege escalation attack.
The recommended fix is to immediately update the HUSKY WordPress plugin to version 1.3.7 or a later version. If upgrading is not possible, implement temporary access restrictions.
While there are no publicly known exploits currently, the high severity of the vulnerability suggests a high probability of exploitation. Continuous monitoring is advised.
Refer to the official HUSKY plugin documentation and WordPress security announcements for the latest advisory and updates regarding CVE-2024-43121.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.