Plataforma
wordpress
Componente
homey-login-register
Corrigido em
2.4.1
O plugin Homey Login Register para WordPress apresenta uma vulnerabilidade de escalada de privilégios. Essa falha permite que usuários não autenticados, durante o processo de registro de novas contas, definam seu próprio papel, possibilitando a obtenção de privilégios elevados, incluindo o papel de administrador. Versões afetadas são aquelas anteriores ou iguais a 2.4.0. A correção está disponível e deve ser aplicada o mais rápido possível.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado crie uma conta com o papel de administrador no WordPress. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de modificar conteúdo, instalar plugins maliciosos, criar novos usuários com privilégios administrativos e, potencialmente, comprometer dados sensíveis. O impacto é severo, pois a integridade e a confidencialidade do site e seus dados estão em risco. A ausência de autenticação necessária para definir o papel torna a exploração relativamente simples, aumentando o risco de ataques em larga escala.
A vulnerabilidade foi divulgada em 2025-03-05. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA KEV). A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a facilidade de exploração. A pontuação CVSS de 9.8 indica um alto risco de exploração.
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
Status do Exploit
EPSS
0.48% (percentil 65%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para uma versão corrigida do plugin Homey Login Register (superior a 2.4.0). Enquanto a atualização não for possível, considere desativar o plugin temporariamente para impedir novos registros de usuários. Como medida adicional, implemente regras de firewall (WAF) para bloquear solicitações suspeitas de criação de usuários com privilégios elevados. Monitore os logs do WordPress em busca de tentativas de criação de usuários com papéis administrativos não autorizados. Verifique, após a atualização, se o plugin está funcionando corretamente e se as permissões de usuário estão configuradas de forma segura.
Atualize o plugin Homey Login Register para a última versão disponível. Isso corrigirá a vulnerabilidade de escalada de privilégios que permite a usuários não autenticados obter acesso de administrador.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-11951 is a critical vulnerability in the Homey Login Register WordPress plugin allowing attackers to gain administrator privileges during account registration.
You are affected if your WordPress site uses the Homey Login Register plugin version 2.4.0 or earlier. Check your plugin versions immediately.
Upgrade the Homey Login Register plugin to the latest available version that addresses the vulnerability. If upgrading is not possible, temporarily disable the plugin.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Homey Login Register plugin website or the WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.