Platform
wordpress
Component
homey-login-register
Opgelost in
2.4.1
CVE-2024-11951 beschrijft een Privilege Escalation kwetsbaarheid in de Homey Login Register plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om verhoogde privileges te verkrijgen door een account aan te maken met de administrator rol. De kwetsbaarheid treft WordPress installaties met de Homey Login Register plugin versie 2.4.0 of lager. Een upgrade naar een beveiligde versie is noodzakelijk om deze kwetsbaarheid te verhelpen.
Deze kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde aanvaller om een account aan te maken met de administrator rol, waardoor ze volledige controle over de WordPress installatie kunnen verkrijgen. Dit omvat de mogelijkheid om bestanden te wijzigen, gebruikers aan te maken en te verwijderen, en de website te compromitteren. De impact is aanzienlijk, aangezien de aanvaller de volledige controle over de website kan overnemen. Een succesvolle exploitatie kan leiden tot dataverlies, reputatieschade en verstoring van de dienstverlening. Het is vergelijkbaar met scenario's waarbij een aanvaller direct toegang tot de administrator account verkrijgt, maar dan via een misbruikte plugin.
De kwetsbaarheid is openbaar bekend sinds 2025-03-05. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de hoge CVSS score (9.8) duidt op een significant risico. Het is waarschijnlijk dat er in de toekomst proof-of-concept exploits beschikbaar komen. Controleer de CISA KEV catalogus voor updates.
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
Exploit Status
EPSS
0.48% (65% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Homey Login Register plugin naar een beveiligde versie. Controleer de WordPress plugin directory of de website van de plugin-ontwikkelaar voor de meest recente versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rollen die gebruikers kunnen selecteren tijdens het registratieproces. Dit kan worden bereikt door de plugin-code aan te passen (indien mogelijk) of door een andere plugin te gebruiken die de gebruikersregistratie controleert. Na de upgrade, verifieer de fix door een nieuwe account aan te maken en te controleren of de rol 'administrator' niet meer selecteerbaar is.
Werk de Homey Login Register plugin bij naar de laatste beschikbare versie. Dit zal de privilege escalatie kwetsbaarheid oplossen waarmee niet-geauthenticeerde gebruikers administrator toegang kunnen verkrijgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11951 is a critical vulnerability in the Homey Login Register WordPress plugin allowing attackers to gain administrator privileges during account registration.
You are affected if your WordPress site uses the Homey Login Register plugin version 2.4.0 or earlier. Check your plugin versions immediately.
Upgrade the Homey Login Register plugin to the latest available version that addresses the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Homey Login Register plugin website or the WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.