Plateforme
wordpress
Composant
spectra-pro
Corrigé dans
1.1.6
Le plugin Spectra Pro pour WordPress présente une vulnérabilité d'élévation de privilèges. Cette faille permet à des utilisateurs authentifiés avec un accès d'auteur ou supérieur de créer des comptes administrateur, contournant ainsi les contrôles d'accès standard. Les versions concernées sont celles inférieures ou égales à 1.1.5. Une mise à jour vers une version corrigée est recommandée pour remédier à ce problème.
Cette vulnérabilité d'élévation de privilèges permet à un attaquant authentifié, disposant d'un accès d'auteur ou supérieur, de créer un nouveau compte utilisateur avec le rôle d'administrateur. L'attaquant peut alors prendre le contrôle total du site WordPress, y compris la modification du contenu, l'installation de logiciels malveillants, l'accès aux données sensibles des utilisateurs et la compromission de l'ensemble de l'infrastructure. L'impact est significatif, car il permet de contourner les mécanismes de sécurité mis en place pour protéger les sites WordPress. Une exploitation réussie peut entraîner une perte de confidentialité, d'intégrité et de disponibilité du site.
Cette vulnérabilité a été rendue publique le 10 mai 2024. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la simplicité de l'exploitation et la large utilisation du plugin Spectra Pro rendent cette vulnérabilité potentiellement attractive pour les attaquants. Un Proof of Concept (PoC) public pourrait être publié à tout moment, augmentant le risque d'exploitation. Il est conseillé de prendre des mesures de mitigation rapidement.
WordPress websites utilizing the Spectra Pro plugin, particularly those with multiple users having author or higher roles, are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with weak password policies or inadequate user access controls are more susceptible to initial compromise, which could then be leveraged to exploit this privilege escalation vulnerability.
• wordpress / composer / npm:
wp plugin list --status=active | grep spectra-pro• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status spectra-pro• wordpress / composer / npm:
grep -r 'wp_create_user' /var/www/html/wp-content/plugins/spectra-pro/*disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour le plugin Spectra Pro vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre les permissions des utilisateurs ayant un accès d'auteur ou supérieur. Vérifiez également les formulaires d'inscription existants pour vous assurer qu'ils ne sont pas configurés pour attribuer automatiquement le rôle d’administrateur. Enfin, surveillez les journaux d’activité du site WordPress pour détecter toute tentative de création de comptes administrateur non autorisée. Après la mise à jour, vérifiez les permissions des utilisateurs et assurez-vous qu'elles sont correctement configurées.
Actualice el plugin Spectra Pro a la última versión disponible. La vulnerabilidad permite a usuarios con rol de Autor o superior crear cuentas de administrador, por lo que es crucial actualizar para mitigar el riesgo de escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-3828 is a vulnerability in the Spectra Pro WordPress plugin allowing attackers with author access to create administrator accounts, gaining full control of the site. It has a CVSS score of 8.8 (HIGH).
You are affected if you are using Spectra Pro version 1.1.5 or earlier. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Spectra Pro plugin to the latest available version. This patch addresses the privilege escalation vulnerability and restores secure operation.
While no widespread exploitation has been confirmed, the ease of exploitation suggests attackers are likely scanning for vulnerable instances. Proactive patching is highly recommended.
Refer to the Spectra Pro plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.