Platform
wordpress
Component
homey
Opgelost in
2.4.3
De Homey WordPress plugin vertoont een privilege escalatie kwetsbaarheid. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om verhoogde privileges te verkrijgen, waardoor ze potentieel controle kunnen krijgen over de WordPress website. De kwetsbaarheid is aanwezig in versies tot en met 2.4.2. Een beveiligde update is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot een significante inbreuk op de beveiliging van de WordPress website. Aanvallers kunnen ongeautoriseerde toegang krijgen tot gevoelige gegevens, configuratiebestanden wijzigen, kwaadaardige code injecteren en de website compromitteren. De impact is vergelijkbaar met het verkrijgen van beheerdersrechten, waardoor de aanvaller volledige controle over de website kan uitoefenen. Dit kan leiden tot dataverlies, reputatieschade en financiële verliezen.
Deze kwetsbaarheid is openbaar bekend en vereist geen complexe exploitatie. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid op het moment van publicatie. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de ernst ervan onderstreept. De publicatiedatum van de CVE is 2025-03-05.
Websites utilizing the Homey plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise on one site could potentially lead to lateral movement and compromise other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'wp_set_role\(\"$wp_user->roles\",' /var/www/html/wp-content/plugins/homey/*• wordpress / composer / npm:
wp plugin list --status=active | grep homey• wordpress / composer / npm:
wp plugin update homey --alldisclosure
Exploit Status
EPSS
0.48% (65% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Homey WordPress plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de roltoewijzing bij nieuwe accountregistraties via WordPress-configuratie. Controleer ook de WordPress plugin directory op updates en bekende exploits. Na de upgrade, verifieer de beveiliging door te controleren of nieuwe accounts niet langer de Editor of Shop Manager rol kunnen instellen.
Werk het Homey thema bij naar de laatste beschikbare versie. Dit zal de privilege escalatie kwetsbaarheid oplossen waardoor niet-geauthenticeerde gebruikers Editor of Shop Manager rollen kunnen verkrijgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12281 is a critical vulnerability in the Homey WordPress plugin allowing attackers to gain elevated privileges by creating accounts with Editor or Shop Manager roles.
If you are using Homey plugin versions ≤2.4.2, you are affected by this vulnerability. Check your plugin version and update immediately.
Update the Homey plugin to the latest version available. If upgrading is not immediately possible, restrict user registration roles as a temporary workaround.
While no public exploits are currently known, the vulnerability's criticality and ease of exploitation suggest a medium probability of exploitation.
Refer to the plugin developer's website or the WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.