平台
wordpress
组件
homey
修复版本
2.4.3
CVE-2024-12281 是 WordPress Homey 主题中的一个严重权限提升漏洞。该漏洞允许未经身份验证的攻击者通过创建具有 Editor 或 Shop Manager 角色的新帐户来获得提升的权限,从而可能完全控制网站。此漏洞影响所有版本 Homey 主题,包括 2.4.2 及更早版本。建议用户尽快升级到修复版本或采取缓解措施。
该漏洞的影响非常严重,攻击者可以利用它来完全控制受影响的 WordPress 网站。攻击者可以修改网站内容、安装恶意软件、窃取敏感数据,甚至完全接管服务器。由于该漏洞允许未经身份验证的攻击者创建具有管理员权限的帐户,因此攻击者可以绕过所有安全措施。这类似于其他 WordPress 插件中的权限提升漏洞,攻击者可以利用这些漏洞来获得对网站的未经授权的访问权限。
该漏洞已公开披露,并且存在利用该漏洞的可能性。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议密切关注安全社区的最新信息,并及时采取行动。
Websites utilizing the Homey plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where multiple WordPress sites share the same server resources are also vulnerable, as a compromise on one site could potentially lead to lateral movement and compromise other sites using the vulnerable plugin.
• wordpress / composer / npm:
grep -r 'wp_set_role\(\"$wp_user->roles\",' /var/www/html/wp-content/plugins/homey/*• wordpress / composer / npm:
wp plugin list --status=active | grep homey• wordpress / composer / npm:
wp plugin update homey --alldisclosure
漏洞利用状态
EPSS
0.48% (65% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到修复后的 Homey 主题版本。如果无法立即升级,可以考虑以下临时缓解措施:限制用户注册时可选择的角色,只允许注册用户选择 Subscriber 角色。此外,实施严格的访问控制策略,并定期审查用户权限。使用 WordPress 安全插件来监控可疑活动,并阻止未经授权的帐户创建。升级后,请确认漏洞已修复,通过尝试创建具有 Editor 或 Shop Manager 角色的新帐户来验证。
将 Homey 主题更新到最新可用版本。这将修复允许未授权用户获得 Editor 或 Shop Manager 角色的权限提升漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12281 是 Homey WordPress 主题中的一个严重漏洞,允许攻击者通过创建具有管理员权限的帐户来获得提升的权限。
如果您正在使用 Homey WordPress 主题的版本 ≤2.4.2,则您可能受到影响。请立即升级到修复版本。
最有效的修复方法是升级到修复后的 Homey 主题版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 WordPress 插件目录或 Homey 主题的官方网站以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。