Plataforma
wordpress
Componente
post-grid
Corrigido em
2.3.4
Uma vulnerabilidade de escalada de privilégios foi descoberta no plugin ComboBlocks para WordPress, afetando versões entre 2.2.85 e 2.3.3. Essa falha permite que atacantes não autenticados se registrem no site com privilégios de administrador, comprometendo a segurança e a integridade do sistema. A atualização para a versão corrigida é essencial para mitigar o risco. A vulnerabilidade foi divulgada em 15 de janeiro de 2025.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante não autenticado se registre no site WordPress como um administrador. Isso concede ao atacante controle total sobre o site, incluindo a capacidade de modificar conteúdo, instalar malware, criar contas de usuário adicionais e acessar dados confidenciais. O impacto é severo, pois a integridade e a confidencialidade do site e dos dados dos usuários estão em risco. Um atacante pode, por exemplo, alterar o conteúdo do site para fins de phishing ou disseminação de informações falsas, ou roubar dados de usuários armazenados no banco de dados do WordPress. A falta de autenticação necessária para a elevação de privilégios torna a exploração relativamente simples.
A vulnerabilidade foi divulgada publicamente em 15 de janeiro de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há um proof-of-concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (escalada de privilégios sem autenticação) sugere um alto potencial de exploração. É recomendável monitorar fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Websites using the ComboBlocks plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Sites with legacy WordPress configurations or those that haven't implemented robust security practices are particularly vulnerable.
• wordpress / composer / npm:
wp plugin list | grep ComboBlocks• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/combo-blocks/• wordpress / composer / npm:
wp option get siteurl• wordpress / composer / npm:
wp option get homedisclosure
Status do Exploit
EPSS
0.76% (percentil 73%)
CISA SSVC
Vetor CVSS
A principal mitigação para esta vulnerabilidade é atualizar o plugin ComboBlocks para a versão corrigida, assim que disponível. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas temporárias. Restrinja o acesso à funcionalidade de registro de usuários, exigindo autenticação para a criação de novas contas. Monitore os logs do WordPress em busca de tentativas de registro suspeitas ou contas de administrador recém-criadas. Implemente um firewall de aplicação web (WAF) com regras para bloquear solicitações de registro maliciosas. Após a atualização, verifique se as contas de administrador existentes permanecem intactas e se não há contas de administrador não autorizadas.
Atualize o plugin Post Grid e Gutenberg Blocks para a versão mais recente disponível. Isso corrigirá a vulnerabilidade de escalada de privilégios que permite que usuários não autenticados se registrem como administradores.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-9636 is a critical vulnerability allowing unauthenticated attackers to register as administrators in ComboBlocks WordPress plugin versions 2.2.85–2.3.3 due to improper user meta restrictions.
If you are using ComboBlocks plugin versions 2.2.85 through 2.3.3, you are potentially affected by this vulnerability. Check your plugin version immediately.
Upgrade the ComboBlocks plugin to the latest available version. If upgrading is not possible, temporarily disable user registration until the upgrade can be performed.
While no public exploits are currently available, the vulnerability's ease of exploitation suggests it is likely to be targeted. Proactive mitigation is recommended.
Refer to the ComboBlocks plugin website or WordPress.org plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.