Plataforma
wordpress
Componente
homey
Corrigido em
2.4.3
A vulnerabilidade CVE-2024-12281 afeta o tema Homey para WordPress, permitindo a escalada de privilégios. Atacantes não autenticados podem criar contas com roles de Editor ou Gerente de Loja, obtendo acesso não autorizado. Essa falha impacta versões do Homey até a 2.4.2. A correção está disponível e deve ser aplicada o mais rápido possível.
Um atacante pode explorar esta vulnerabilidade para criar uma conta com privilégios elevados, como Editor ou Gerente de Loja, sem a necessidade de autenticação. Isso permite que o atacante modifique conteúdo do site, instale plugins maliciosos, acesse informações sensíveis e potencialmente comprometa todo o servidor WordPress. A escalada de privilégios pode levar a um controle total do site, permitindo a exfiltração de dados, a defacement do site e a utilização como plataforma para ataques adicionais. A ausência de autenticação necessária para definir o role torna a exploração particularmente fácil e perigosa.
A vulnerabilidade foi divulgada em 2025-03-05. Não há evidências de exploração ativa em campanhas, mas a facilidade de exploração a torna um alvo potencial. A ausência de um KEV listing indica que a probabilidade de exploração em larga escala é considerada baixa a média. A existência de um CVSS score crítico reforça a necessidade de mitigação imediata.
Websites utilizing the Homey plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise on one site could potentially lead to lateral movement and compromise other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'wp_set_role\(\"$wp_user->roles\",' /var/www/html/wp-content/plugins/homey/*• wordpress / composer / npm:
wp plugin list --status=active | grep homey• wordpress / composer / npm:
wp plugin update homey --alldisclosure
Status do Exploit
EPSS
0.48% (percentil 65%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o tema Homey para uma versão corrigida. Se a atualização imediata não for possível, considere restringir a capacidade de novos usuários definirem seus próprios roles durante o registro. Implemente um WAF (Web Application Firewall) com regras para bloquear tentativas de criação de contas com roles privilegiados. Monitore logs do WordPress em busca de atividades suspeitas, como a criação de contas com roles de Editor ou Gerente de Loja por endereços IP desconhecidos. Após a atualização, verifique se a funcionalidade de definição de role durante o registro foi desabilitada ou restringida.
Atualize o tema Homey para a última versão disponível. Isso corrigirá a vulnerabilidade de escalada de privilégios que permite a usuários não autenticados obterem roles de Editor ou Gerente de Loja.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12281 é uma vulnerabilidade que permite a atacantes não autenticados obterem privilégios elevados no tema Homey para WordPress, afetando versões até 2.4.2.
Se você estiver utilizando o tema Homey em versões anteriores ou igual a 2.4.2, você está potencialmente afetado. Verifique a versão do seu tema e aplique a correção.
Atualize o tema Homey para a versão mais recente. Se a atualização não for possível, restrinja a capacidade de novos usuários definirem seus próprios roles.
Não há evidências de exploração ativa em campanhas, mas a facilidade de exploração a torna um alvo potencial.
Consulte o site oficial do tema Homey ou o repositório do WordPress para obter o aviso oficial e as instruções de correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.