Plateforme
wordpress
Composant
hurrakify
Corrigé dans
2.4.1
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans le plugin Hurrakify pour WordPress. Cette faille permet à un attaquant d'initier des requêtes vers des ressources internes ou externes au nom du serveur, potentiellement contournant les contrôles d'accès. Elle affecte les versions du plugin Hurrakify antérieures ou égales à la version 2.4. Une version corrigée, la 2.4.1, est désormais disponible.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des données sensibles stockées sur le serveur WordPress, telles que des fichiers de configuration ou des informations d'identification. L'attaquant pourrait également utiliser le serveur pour scanner le réseau interne à la recherche d'autres vulnérabilités ou pour lancer des attaques contre d'autres systèmes. Dans le pire des cas, cela pourrait conduire à une compromission complète du serveur WordPress et de ses données associées. Bien que cette vulnérabilité ne permette pas directement l'exécution de code arbitraire, elle peut servir de tremplin pour d'autres attaques.
Cette vulnérabilité a été publiée le 13 décembre 2024. Il n'y a pas d'indications d'exploitation active à ce jour, ni de Proof of Concept (PoC) publiquement disponibles. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme faible à modérée en raison du manque de PoC et de l'absence d'exploitation confirmée.
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
Statut de l'Exploit
EPSS
32.44% (percentile 97%)
CISA SSVC
Vecteur CVSS
La mesure la plus efficace pour atténuer cette vulnérabilité est de mettre à jour le plugin Hurrakify vers la version 2.4.1 ou supérieure. En attendant la mise à jour, il est possible de limiter l'impact en configurant un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de restreindre l'accès aux ressources internes sensibles et de surveiller attentivement les journaux du serveur WordPress pour détecter toute activité inhabituelle. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins.
Mettez à jour le plugin Hurrakify vers la dernière version disponible. Si aucune version corrigeant la vulnérabilité n'est disponible, envisagez de désactiver le plugin jusqu'à ce qu'une mise à jour soit publiée. Contactez le développeur du plugin pour demander une solution.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-54330 est une vulnérabilité SSRF (Server-Side Request Forgery) dans le plugin Hurrakify pour WordPress, permettant à un attaquant d'effectuer des requêtes non autorisées.
Oui, si vous utilisez le plugin Hurrakify pour WordPress et que votre version est inférieure ou égale à 2.4, vous êtes affecté.
Mettez à jour le plugin Hurrakify vers la version 2.4.1 ou supérieure pour corriger cette vulnérabilité.
À l'heure actuelle, il n'y a pas d'indications d'exploitation active, mais la vulnérabilité reste présente si vous n'avez pas mis à jour.
Consultez le site web du développeur Hurrakify ou le dépôt GitHub du plugin pour obtenir les informations les plus récentes et les correctifs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.