Plataforma
wordpress
Componente
buddypress
Corrigido em
14.3.4
14.3.4
A vulnerabilidade CVE-2024-11976 afeta o plugin BuddyPress para WordPress, permitindo a execução arbitrária de shortcodes. Essa falha ocorre devido à falta de validação adequada de um valor antes de executar a função do_shortcode, possibilitando que atacantes não autenticados executem código malicioso. Versões do BuddyPress até 14.3.3 são vulneráveis, e a correção foi lançada na versão 14.3.4.
Um atacante pode explorar essa vulnerabilidade para executar shortcodes arbitrários no site WordPress. Isso pode levar à execução de código malicioso, roubo de dados sensíveis, defacement do site ou até mesmo controle total do servidor. A execução de shortcodes arbitrários permite a injeção de conteúdo malicioso, redirecionamento de usuários para sites maliciosos e a instalação de backdoors persistentes. A falta de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o risco, pois qualquer usuário pode potencialmente comprometer o site.
A vulnerabilidade foi divulgada em 22 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um proof-of-concept (PoC) público pode aumentar a probabilidade de exploração, portanto, a aplicação de patches é crucial.
WordPress websites utilizing the BuddyPress plugin, particularly those running versions prior to 14.3.4, are at risk. Shared hosting environments are especially vulnerable, as a compromised BuddyPress installation on one site could potentially impact others on the same server. Sites with custom shortcode implementations or plugins that interact with BuddyPress are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/buddypress/• wordpress / composer / npm:
wp plugin list --status=active | grep buddypress• wordpress / composer / npm:
wp plugin update buddypress --all• generic web: Check for unusual shortcode usage in website content, particularly in areas accessible to unauthenticated users.
disclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-11976 é a atualização imediata do plugin BuddyPress para a versão 14.3.4 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin BuddyPress. Como workaround, restrinja o uso de shortcodes em áreas onde usuários não autenticados podem inserir dados. Monitore logs do WordPress em busca de atividades suspeitas relacionadas à execução de shortcodes. Após a atualização, confirme a correção verificando se a função do_shortcode está sendo devidamente validada.
Atualize para a versão 14.3.4, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-11976 is a HIGH severity vulnerability in the BuddyPress plugin for WordPress, allowing unauthenticated attackers to execute arbitrary shortcodes.
Yes, if you are using BuddyPress versions 14.3.3 or earlier, you are affected by this vulnerability.
Upgrade BuddyPress to version 14.3.4 or later to remediate the vulnerability. If immediate upgrade is not possible, temporarily disable the plugin.
While there are no confirmed active campaigns, the availability of a public proof-of-concept increases the risk of exploitation.
Refer to the official BuddyPress website and WordPress security announcements for the latest information and advisory regarding CVE-2024-11976.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.