Plateforme
wordpress
Composant
homey-login-register
Corrigé dans
2.4.1
Le plugin Homey Login Register pour WordPress présente une vulnérabilité d'escalade de privilèges. Cette faille permet à des attaquants non authentifiés de contourner les contrôles d'accès et d'obtenir des privilèges administratifs. Elle affecte toutes les versions du plugin jusqu'à et y compris la version 2.4.0. Une correction est disponible et son application est fortement recommandée.
Cette vulnérabilité permet à un attaquant de créer un compte utilisateur avec le rôle d'administrateur, lui conférant un contrôle total sur le site WordPress. L'attaquant peut alors modifier le contenu, installer des logiciels malveillants, accéder à des données sensibles, et compromettre l'ensemble de l'infrastructure. Le risque est particulièrement élevé pour les sites WordPress hébergeant des informations confidentielles ou utilisés pour des transactions sensibles. Une exploitation réussie pourrait entraîner une perte de données, une interruption de service, et une atteinte à la réputation.
Cette vulnérabilité a été publiée le 5 mars 2025. Aucune preuve d'exploitation active n'est actuellement disponible, mais la sévérité critique de la vulnérabilité et la facilité d'exploitation potentielle justifient une attention particulière. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute information supplémentaire.
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
Statut de l'Exploit
EPSS
0.48% (percentile 65%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace est de mettre à jour le plugin Homey Login Register vers la dernière version corrigée. En attendant, une mesure d'atténuation consiste à restreindre les rôles attribuables lors de l'inscription de nouveaux utilisateurs via des modifications du code du plugin ou l'utilisation d'un plugin de sécurité WordPress. Vérifiez également les journaux d'activité du plugin pour détecter toute tentative d'inscription suspecte. Après la mise à jour, vérifiez que les nouveaux utilisateurs ne peuvent pas se voir attribuer le rôle d'administrateur lors de l'inscription.
Mettez à jour le plugin Homey Login Register vers la dernière version disponible. Cela corrigera la vulnérabilité d'escalade de privilèges qui permet à des utilisateurs non authentifiés d'obtenir un accès administrateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-11951 is a critical vulnerability in the Homey Login Register WordPress plugin allowing attackers to gain administrator privileges during account registration.
You are affected if your WordPress site uses the Homey Login Register plugin version 2.4.0 or earlier. Check your plugin versions immediately.
Upgrade the Homey Login Register plugin to the latest available version that addresses the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Homey Login Register plugin website or the WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.