Plataforma
wordpress
Componente
hurrakify
Corregido en
2.4.1
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en Hurrakify, un plugin de WordPress. Esta vulnerabilidad permite a un atacante realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o permitiendo el acceso a servicios no expuestos públicamente. La vulnerabilidad afecta a las versiones de Hurrakify desde la versión desconocida hasta la 2.4. Se recomienda actualizar a la versión 2.4.1 para mitigar el riesgo.
La vulnerabilidad SSRF en Hurrakify permite a un atacante, una vez explotada, enviar solicitudes a cualquier URL que el servidor pueda alcanzar. Esto incluye recursos internos que normalmente no son accesibles desde el exterior, como bases de datos, servidores de administración o servicios en la nube. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial, como credenciales de acceso, datos de configuración o información personal. Además, podría utilizarla para realizar ataques internos, como la modificación de datos o la ejecución de comandos en otros sistemas dentro de la red. La severidad del impacto depende de la sensibilidad de los recursos internos a los que se pueda acceder a través de la vulnerabilidad.
La vulnerabilidad CVE-2024-54330 fue publicada el 13 de diciembre de 2024. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No se han encontrado públicamente pruebas de concepto (PoC) disponibles, lo que sugiere un riesgo de explotación relativamente bajo, aunque la naturaleza de las vulnerabilidades SSRF las hace susceptibles a ser explotadas una vez que se conocen los detalles.
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
Estado del Exploit
EPSS
32.44% (97% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Hurrakify a la versión 2.4.1, donde se ha corregido el problema. Si la actualización a la versión 2.4.1 no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los recursos internos a través de un firewall o un proxy. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que puedan indicar un intento de explotación de la vulnerabilidad SSRF. Verifique que las configuraciones de WordPress estén optimizadas para seguridad, incluyendo la restricción de acceso a archivos y directorios sensibles.
Actualiza el plugin Hurrakify a la última versión disponible. Si no hay una versión disponible que corrija la vulnerabilidad, considera deshabilitar el plugin hasta que se publique una actualización. Contacta al desarrollador del plugin para solicitar una solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-54330 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en el plugin Hurrakify para WordPress, permitiendo a atacantes realizar solicitudes a recursos internos del servidor.
Si está utilizando Hurrakify en una versión anterior a 2.4.1, es vulnerable a esta vulnerabilidad SSRF. Verifique su versión actual y actualice si es necesario.
La solución es actualizar Hurrakify a la versión 2.4.1. Si no puede actualizar inmediatamente, implemente medidas de seguridad adicionales como un WAF o restricciones de red.
Hasta el momento, no se han reportado campañas de explotación activas, pero la naturaleza de SSRF la hace susceptible a futuros ataques.
Consulte el sitio web oficial de Hurrakify o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.