HIGHCVE-2024-3828CVSS 8.8

Spectra Pro <= 1.1.5 - 认证 (作者+) 权限提升

Q: 什么是 CVE-2024-3828 — 权限提升漏洞在 Spectra Pro WordPress 插件中？

CVE-2024-3828 是 Spectra Pro WordPress 插件中的一个权限提升漏洞，允许攻击者创建管理员账户。此漏洞影响所有版本，包括 1.1.5 及更早版本。

Q: 我是否受到 CVE-2024-3828 在 Spectra Pro WordPress 插件中的影响？

如果您正在使用 Spectra Pro WordPress 插件，并且您的版本低于或等于 1.1.5，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2024-3828 在 Spectra Pro WordPress 插件中的问题？

立即将 Spectra Pro WordPress 插件升级到最新版本。如果无法升级，请采取缓解措施，例如限制用户创建权限。

Q: CVE-2024-3828 是否正在被积极利用？

目前尚未观察到大规模的利用活动，但由于 WordPress 的广泛使用，该漏洞可能成为攻击者的目标。

Q: 在哪里可以找到 Spectra Pro 官方针对 CVE-2024-3828 的公告？

请访问 Spectra Pro 官方网站或 WordPress 插件目录，查找有关此漏洞的官方公告。

平台

wordpress

组件

spectra-pro

修复版本

1.1.6

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

Spectra Pro WordPress 插件存在权限提升漏洞，允许具有作者级别或更高权限的认证攻击者创建管理员级别的账户。此漏洞影响所有版本，包括 1.1.5 及更早版本。攻击者可以利用此漏洞绕过身份验证机制，获得对 WordPress 站点的完全控制权。该漏洞已于 2024 年 5 月 10 日公开。

影响与攻击场景

此漏洞的影响非常严重，攻击者可以利用它来完全控制受影响的 WordPress 站点。攻击者可以创建新的管理员账户，修改网站内容，安装恶意软件，甚至完全控制服务器。由于 WordPress 广泛使用，此漏洞可能影响大量网站。攻击者可以利用此漏洞窃取敏感数据，例如用户凭据、财务信息和个人信息。此外，攻击者还可以利用此漏洞进行横向移动，攻击网络中的其他系统。

利用背景

该漏洞已公开，并且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于 WordPress 的广泛使用，该漏洞可能成为攻击者的目标。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议尽快采取缓解措施。

哪些人处于风险中翻译中…

WordPress websites utilizing the Spectra Pro plugin, particularly those with multiple users having author or higher roles, are at significant risk. Shared hosting environments where users have limited control over plugin updates are also particularly vulnerable. Sites with weak password policies or inadequate user access controls are more susceptible to initial compromise, which could then be leveraged to exploit this privilege escalation vulnerability.

检测步骤翻译中…

• wordpress / composer / npm:

wp plugin list --status=active | grep spectra-pro

• wordpress / composer / npm:

wp plugin update --all

• wordpress / composer / npm:

wp plugin status spectra-pro

• wordpress / composer / npm:

grep -r 'wp_create_user' /var/www/html/wp-content/plugins/spectra-pro/*

攻击时间线

2024-05-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.14% (34% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件spectra-pro

供应商Brainstorm Force

影响范围修复版本

* – 1.1.51.1.6

弱点分类 (CWE)

CWE-269

时间线

已保留2024-04-15
发布日期2024-05-10
修改日期2024-08-01
EPSS 更新日期2026-04-02

未修复 — 披露已744天

缓解措施和替代方案

缓解此漏洞的最佳方法是立即将 Spectra Pro WordPress 插件升级到最新版本。如果无法立即升级，可以考虑以下缓解措施：限制用户创建权限，确保只有授权用户才能创建新的用户账户。实施强密码策略，要求用户使用复杂且唯一的密码。定期审查用户账户，删除不再需要的账户。使用 WordPress 安全插件，这些插件可以帮助检测和阻止恶意活动。如果升级导致问题，请尝试回滚到之前的版本，并联系插件开发者寻求支持。

修复方法翻译中…

Actualice el plugin Spectra Pro a la última versión disponible. La vulnerabilidad permite a usuarios con rol de Autor o superior crear cuentas de administrador, por lo que es crucial actualizar para mitigar el riesgo de escalada de privilegios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-3828 — 权限提升漏洞在 Spectra Pro WordPress 插件中？

CVE-2024-3828 是 Spectra Pro WordPress 插件中的一个权限提升漏洞，允许攻击者创建管理员账户。此漏洞影响所有版本，包括 1.1.5 及更早版本。

我是否受到 CVE-2024-3828 在 Spectra Pro WordPress 插件中的影响？

如果您正在使用 Spectra Pro WordPress 插件，并且您的版本低于或等于 1.1.5，则您可能受到此漏洞的影响。

我如何修复 CVE-2024-3828 在 Spectra Pro WordPress 插件中的问题？

立即将 Spectra Pro WordPress 插件升级到最新版本。如果无法升级，请采取缓解措施，例如限制用户创建权限。

CVE-2024-3828 是否正在被积极利用？

目前尚未观察到大规模的利用活动，但由于 WordPress 的广泛使用，该漏洞可能成为攻击者的目标。

在哪里可以找到 Spectra Pro 官方针对 CVE-2024-3828 的公告？

请访问 Spectra Pro 官方网站或 WordPress 插件目录，查找有关此漏洞的官方公告。

Spectra Pro <= 1.1.5 - 认证 (作者+) 权限提升

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

什么是 CVE-2024-3828 — 权限提升漏洞在 Spectra Pro WordPress 插件中？

我是否受到 CVE-2024-3828 在 Spectra Pro WordPress 插件中的影响？

我如何修复 CVE-2024-3828 在 Spectra Pro WordPress 插件中的问题？

CVE-2024-3828 是否正在被积极利用？

在哪里可以找到 Spectra Pro 官方针对 CVE-2024-3828 的公告？

你的项目受影响吗?

检测此 CVE 是否影响你的项目