Platform
wordpress
Component
buddypress
Opgelost in
14.3.4
14.3.4
CVE-2024-11976 beschrijft een kwetsbaarheid voor arbitraire shortcode uitvoering in de BuddyPress plugin voor WordPress. Deze kwetsbaarheid stelt onbevoegde aanvallers in staat om willekeurige shortcodes uit te voeren, wat kan leiden tot ongeautoriseerde toegang en controle over de website. De kwetsbaarheid treft versies van BuddyPress tot en met 14.3.3. Een patch is beschikbaar in versie 14.3.4.
Een succesvolle exploitatie van deze kwetsbaarheid kan aanzienlijke gevolgen hebben voor een WordPress website. Een aanvaller kan willekeurige PHP-code uitvoeren via shortcodes, waardoor ze volledige controle over de website kunnen krijgen. Dit omvat het wijzigen van content, het installeren van malware, het stelen van gevoelige gegevens, en het compromitteren van de hele server. De impact is vergelijkbaar met een Remote Code Execution (RCE) kwetsbaarheid, omdat de aanvaller in feite code kan uitvoeren op de server. De mate van de schade hangt af van de privileges van de WordPress gebruiker en de configuratie van de server.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van patching benadrukt. De publicatiedatum van de CVE is 2026-01-22.
WordPress websites utilizing the BuddyPress plugin, particularly those running versions prior to 14.3.4, are at risk. Shared hosting environments are especially vulnerable, as a compromised BuddyPress installation on one site could potentially impact others on the same server. Sites with custom shortcode implementations or plugins that interact with BuddyPress are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/buddypress/• wordpress / composer / npm:
wp plugin list --status=active | grep buddypress• wordpress / composer / npm:
wp plugin update buddypress --all• generic web: Check for unusual shortcode usage in website content, particularly in areas accessible to unauthenticated users.
disclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-11976 is het upgraden van de BuddyPress plugin naar versie 14.3.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk uitschakelen van shortcodes in BuddyPress via WordPress filters. Controleer de WordPress access logs op verdachte activiteit, met name pogingen om shortcodes uit te voeren. Implementeer een Web Application Firewall (WAF) met regels om de uitvoering van onveilige shortcodes te blokkeren. Na de upgrade, controleer de website op tekenen van compromittering, zoals onverwachte bestanden of wijzigingen in de database.
Update naar versie 14.3.4, of een nieuwere gepatchte versie
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11976 is a HIGH severity vulnerability in the BuddyPress plugin for WordPress, allowing unauthenticated attackers to execute arbitrary shortcodes.
Yes, if you are using BuddyPress versions 14.3.3 or earlier, you are affected by this vulnerability.
Upgrade BuddyPress to version 14.3.4 or later to remediate the vulnerability. If immediate upgrade is not possible, temporarily disable the plugin.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the official BuddyPress website and WordPress security announcements for the latest information and advisory regarding CVE-2024-11976.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.