Platform
wordpress
Component
hurrakify
Opgelost in
2.4.1
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in de Hurrakify WordPress plugin. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te initiëren vanaf de server, waardoor mogelijk toegang tot interne bronnen mogelijk is. De kwetsbaarheid treft versies van Hurrakify tot en met 2.4. Een patch is beschikbaar in versie 2.4.1.
De SSRF-kwetsbaarheid in Hurrakify maakt het mogelijk voor een aanvaller om verzoeken te sturen namens de server, waardoor interne services en bronnen die normaal gesproken niet toegankelijk zijn vanaf het internet, benaderd kunnen worden. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden of database-credentials. In een worst-case scenario kan een aanvaller deze toegang gebruiken om verder in het netwerk te bewegen en gevoelige systemen te compromitteren. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met scenario's waarbij interne API's of beheerdiensten onbedoeld worden blootgesteld.
Deze kwetsbaarheid is openbaar gemaakt op 2024-12-13. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept.
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
Exploit Status
EPSS
32.44% (97% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het upgraden van de Hurrakify plugin naar versie 2.4.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met regels om SSRF-aanvallen te blokkeren. Configureer de server zo dat deze geen toegang heeft tot interne bronnen die niet nodig zijn voor de plugin. Controleer de WordPress-logbestanden op verdachte verzoeken die mogelijk wijzen op pogingen tot exploitatie.
Update de Hurrakify plugin naar de laatste beschikbare versie. Indien er geen versie beschikbaar is die de kwetsbaarheid verhelpt, overweeg dan om de plugin uit te schakelen totdat een update is gepubliceerd. Neem contact op met de plugin-ontwikkelaar om een oplossing aan te vragen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-54330 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Hurrakify WordPress plugin, waardoor een aanvaller interne bronnen kan benaderen.
Ja, als u Hurrakify gebruikt in versie 2.4 of lager, bent u getroffen door deze kwetsbaarheid.
Upgrade Hurrakify naar versie 2.4.1 of hoger om deze kwetsbaarheid te verhelpen.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes, maar het is belangrijk om de plugin zo snel mogelijk te patchen.
Raadpleeg de Hurrakify website of de WordPress plugin directory voor het officiële advies en de patch.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.