Platform
wordpress
Component
spectra-pro
Opgelost in
1.1.6
De Spectra Pro WordPress plugin vertoont een Privilege Escalation kwetsbaarheid in versies tot en met 1.1.5. Deze kwetsbaarheid stelt geauthenticeerde aanvallers met author-niveau toegang of hoger in staat om administrator-accounts te creëren, waardoor ze ongeautoriseerde controle over de website kunnen verkrijgen. De kwetsbaarheid is openbaar gemaakt op 10 mei 2024 en vereist onmiddellijke aandacht om verdere misbruik te voorkomen. Upgrade naar de nieuwste versie om de kwetsbaarheid te verhelpen.
Deze Privilege Escalation kwetsbaarheid stelt aanvallers in staat om administrator-accounts te creëren zonder de vereiste authenticatie. Dit geeft hen volledige controle over de WordPress website, inclusief de mogelijkheid om bestanden te wijzigen, gebruikersaccounts te beheren, code uit te voeren en gevoelige gegevens te stelen. De impact kan variëren afhankelijk van de gevoeligheid van de data die op de website wordt opgeslagen en de kritikaliteit van de website zelf. Een succesvolle exploitatie kan leiden tot dataverlies, reputatieschade en financiële verliezen.
Deze kwetsbaarheid is recent openbaar gemaakt en er zijn momenteel geen bekende actieve campagnes gerapporteerd. Er zijn ook geen publieke Proof-of-Concept (PoC) exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). De NVD publicatiedatum is 2024-05-10.
WordPress websites utilizing the Spectra Pro plugin, particularly those with multiple users having author or higher roles, are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with weak password policies or inadequate user access controls are more susceptible to initial compromise, which could then be leveraged to exploit this privilege escalation vulnerability.
• wordpress / composer / npm:
wp plugin list --status=active | grep spectra-pro• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status spectra-pro• wordpress / composer / npm:
grep -r 'wp_create_user' /var/www/html/wp-content/plugins/spectra-pro/*disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Spectra Pro WordPress plugin naar een beveiligde versie. Controleer de officiële bronnen van de plugin voor de meest recente versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van gebruikers met author-niveau toegang of het implementeren van een Web Application Firewall (WAF) om pogingen tot administrator-account creatie te blokkeren. Monitor de WordPress logs op verdachte activiteiten.
Actualice el plugin Spectra Pro a la última versión disponible. La vulnerabilidad permite a usuarios con rol de Autor o superior crear cuentas de administrador, por lo que es crucial actualizar para mitigar el riesgo de escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-3828 is a vulnerability in the Spectra Pro WordPress plugin allowing attackers with author access to create administrator accounts, gaining full control of the site. It has a CVSS score of 8.8 (HIGH).
You are affected if you are using Spectra Pro version 1.1.5 or earlier. Check your plugin version and upgrade immediately if vulnerable.
Upgrade the Spectra Pro plugin to the latest available version. This patch addresses the privilege escalation vulnerability and restores secure operation.
While no widespread exploitation has been confirmed, the ease of exploitation suggests attackers are likely scanning for vulnerable instances. Proactive patching is highly recommended.
Refer to the Spectra Pro plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.