平台
wordpress
组件
buddypress
修复版本
14.3.4
14.3.4
CVE-2024-11976 描述了 WordPress BuddyPress 插件中的一个严重漏洞,允许攻击者执行任意短代码。此漏洞源于软件未能正确验证在运行 do_shortcode 之前的值,导致未经身份验证的攻击者可以执行任意短代码。受影响的版本包括 14.3.3 及更早版本。已发布 14.3.4 版本以解决此问题。
攻击者可以利用此漏洞在 WordPress 站点上执行任意短代码,从而可能导致严重的安全后果。攻击者可以利用此漏洞执行恶意代码,窃取敏感数据,例如用户凭据和个人信息。此外,攻击者还可以利用此漏洞完全控制受影响的 WordPress 站点,并将其用于恶意目的,例如传播恶意软件或发起 DDoS 攻击。由于 BuddyPress 广泛使用,此漏洞的影响范围可能非常广泛,可能影响数千个 WordPress 站点。
此漏洞已公开披露,并且存在公开的利用代码。虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用活动。此漏洞尚未被添加到 CISA KEV 目录中,但应密切关注其发展。
WordPress websites utilizing the BuddyPress plugin, particularly those running versions prior to 14.3.4, are at risk. Shared hosting environments are especially vulnerable, as a compromised BuddyPress installation on one site could potentially impact others on the same server. Sites with custom shortcode implementations or plugins that interact with BuddyPress are also at increased risk.
• wordpress / composer / npm:
grep -r 'do_shortcode' /var/www/html/wp-content/plugins/buddypress/• wordpress / composer / npm:
wp plugin list --status=active | grep buddypress• wordpress / composer / npm:
wp plugin update buddypress --all• generic web: Check for unusual shortcode usage in website content, particularly in areas accessible to unauthenticated users.
disclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 BuddyPress 插件升级到 14.3.4 或更高版本。如果无法立即升级,可以考虑回滚到之前的稳定版本,但请注意这可能引入其他已知漏洞。此外,可以实施一些临时缓解措施,例如限制用户可以执行的短代码类型,或使用 Web 应用防火墙 (WAF) 来阻止恶意短代码的执行。建议定期审查 WordPress 插件,并确保它们保持最新状态。
更新到 14.3.4 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-11976 是 WordPress BuddyPress 插件中的一个漏洞,允许攻击者执行任意短代码,可能导致敏感信息泄露或系统控制。
如果您正在使用 WordPress BuddyPress 插件的版本小于或等于 14.3.3,则您可能受到此漏洞的影响。
将 BuddyPress 插件升级到 14.3.4 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用活动。
请访问 WordPress 官方安全公告页面以获取更多信息:https://security.wordpress.org/
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。