平台
wordpress
组件
homey-login-register
修复版本
2.4.1
Homey Login Register 插件的此漏洞源于注册新账户时允许用户自行设置角色。攻击者可以利用此缺陷,通过创建具有管理员角色的账户来提升权限。该漏洞影响 Homey Login Register WordPress 插件的所有版本,包括 2.4.0 及更早版本。建议尽快更新插件或采取缓解措施以降低风险。
该漏洞允许未经身份验证的攻击者通过创建具有管理员角色的账户来获得系统最高权限。攻击者可以完全控制受影响的 WordPress 站点,包括修改内容、安装恶意插件、窃取敏感数据,甚至完全接管服务器。由于该漏洞的严重性,攻击者可能迅速获得对整个系统的控制权,造成严重的安全事件。如果站点包含用户数据或敏感信息,攻击者可能窃取这些数据并用于恶意目的。
该漏洞已于 2025-03-05 公开披露。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态,及时采取应对措施。该漏洞可能被恶意行为者利用,进行针对 WordPress 站点的攻击。
WordPress websites utilizing the Homey Login Register plugin, particularly those with limited security hardening or outdated plugin versions, are at significant risk. Shared hosting environments where plugin updates are not consistently managed are also particularly vulnerable. Sites relying on this plugin for user registration without robust role-based access controls face the highest exposure.
• wordpress / composer / npm:
grep -r 'wp_set_current_user' /var/www/html/wp-content/plugins/homey-login-register/• wordpress / composer / npm:
wp plugin list --status=all | grep 'homey-login-register'• wordpress / composer / npm:
wp plugin update homey-login-register --alldisclosure
漏洞利用状态
EPSS
0.48% (65% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Homey Login Register 插件升级到修复版本。如果无法立即升级,可以考虑禁用插件或限制用户角色设置权限。此外,可以实施严格的访问控制策略,限制用户创建新账户的能力。监控 WordPress 站点的用户活动,及时发现并响应可疑行为。使用 WordPress 安全插件,加强站点的整体安全性。
将 Homey Login Register 插件更新到最新可用版本。这将修复允许未经身份验证的用户获得管理员访问权限的权限提升漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-11951 是 Homey Login Register WordPress 插件中的一个权限提升漏洞,允许攻击者通过创建具有管理员角色的账户来获得系统最高权限。
如果您正在使用 Homey Login Register 插件的版本低于或等于 2.4.0,则您可能受到此漏洞的影响。
最有效的修复方法是立即将 Homey Login Register 插件升级到修复版本。
目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Homey Login Register 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。