WordPress Hurrakify plugin <= 2.4 - Server Side Request Forgery (SSRF) kwetsbaarheid

De SSRF-kwetsbaarheid in Hurrakify maakt het mogelijk voor een aanvaller om verzoeken te sturen namens de server, waardoor interne services en bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet, benaderd kunnen worden. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden of database-credentials. In een worst-case scenario kan een aanvaller deze toegang gebruiken om verder in het netwerk te bewegen en gevoelige systemen te compromitteren. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met scenario's waarbij interne API's of beheerdiensten onbedoeld worden blootgesteld.

WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.

• wordpress / composer / npm:

grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Server

1. 2024-12-13Disclosure

   disclosure

Actieve installaties

80

Plugin-beoordeling

0.0

Vereist WordPress

2.0.2+

Compatibel tot

7.0

1. Gereserveerd2024-12-02
2. Gepubliceerd2024-12-13
3. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor deze kwetsbaarheid is het upgraden van de Hurrakify plugin naar versie 2.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om SSRF-aanvallen te blokkeren. Configureer de server zo dat deze geen toegang heeft tot interne bronnen die niet nodig zijn voor de plugin. Controleer de WordPress-logbestanden op verdachte verzoeken die mogelijk wijzen op pogingen tot exploitatie.