Plataforma
wordpress
Componente
hurrakify
Corrigido em
2.4.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta em Hurrakify, um plugin para WordPress. Essa falha permite que um atacante force o servidor a fazer requisições a recursos internos, contornando restrições de segurança e acessando dados confidenciais. A vulnerabilidade afeta versões do Hurrakify anteriores ou iguais a 2.4 e foi corrigida na versão 2.4.1.
A exploração bem-sucedida da vulnerabilidade SSRF em Hurrakify pode permitir que um atacante acesse recursos internos da rede que normalmente não seriam acessíveis externamente. Isso pode incluir informações sensíveis armazenadas em bancos de dados, arquivos de configuração ou outros serviços internos. Um atacante pode usar essa vulnerabilidade para coletar informações sobre a infraestrutura interna, realizar ataques de reconhecimento ou até mesmo comprometer outros sistemas na rede. O impacto potencial é significativo, especialmente em ambientes onde o Hurrakify é usado para integrar com outros serviços internos.
A vulnerabilidade foi divulgada em 13 de dezembro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois a SSRF é uma classe de vulnerabilidade bem compreendida.
WordPress websites utilizing the Hurrakify plugin, particularly those running versions 2.4 or earlier, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with sensitive internal resources accessible via HTTP/HTTPS are also at higher risk.
• wordpress / composer / npm:
grep -r 'http://' /var/www/html/wp-content/plugins/hurrakify/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/hurrakify/ | grep Serverdisclosure
Status do Exploit
EPSS
32.44% (percentil 97%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade SSRF em Hurrakify é atualizar para a versão 2.4.1 ou superior. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir as requisições que o Hurrakify pode fazer. Além disso, revise as configurações do plugin para garantir que não haja opções que possam ser exploradas para realizar requisições não autorizadas. Monitore os logs do servidor em busca de atividades suspeitas, como requisições a endereços IP internos inesperados.
Atualize o plugin Hurrakify para a última versão disponível. Se não houver uma versão disponível que corrija a vulnerabilidade, considere desabilitar o plugin até que uma atualização seja publicada. Entre em contato com o desenvolvedor do plugin para solicitar uma solução.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-54330 é uma vulnerabilidade SSRF (Server-Side Request Forgery) no plugin Hurrakify para WordPress, permitindo que um atacante force o servidor a fazer requisições a recursos internos.
Se você estiver usando o plugin Hurrakify em versões anteriores ou iguais a 2.4, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Hurrakify para a versão 2.4.1 ou superior. Se a atualização imediata não for possível, implemente regras de firewall para restringir requisições.
Não há informações disponíveis sobre exploração ativa no momento, mas a vulnerabilidade é bem compreendida e pode ser explorada.
Consulte o site oficial do Hurrakify ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.