Plataforma
wordpress
Componente
elementor
Corregido en
3.19.1
La vulnerabilidad CVE-2024-24934 es una falla de deserialización insegura que afecta al Elementor Website Builder, un popular constructor de páginas para WordPress. Esta falla permite a un atacante manipular la entrada web para realizar llamadas al sistema de archivos, lo que podría resultar en la ejecución de código arbitrario o la exposición de información sensible. La vulnerabilidad afecta a las versiones del Elementor Website Builder anteriores o iguales a la 3.19.0, y se ha solucionado en la versión 3.19.1.
Un atacante que explote con éxito esta vulnerabilidad podría obtener acceso no autorizado al sistema de archivos del servidor web. Esto podría permitir la lectura, modificación o incluso la eliminación de archivos críticos, incluyendo archivos de configuración, código fuente y bases de datos. En el peor de los casos, un atacante podría ejecutar código arbitrario en el servidor, comprometiendo completamente la aplicación y los datos asociados. La capacidad de manipular llamadas al sistema de archivos representa un riesgo significativo, similar a las vulnerabilidades de recorrido de directorio que han sido explotadas en el pasado para obtener acceso a información confidencial.
La vulnerabilidad CVE-2024-24934 fue publicada el 17 de mayo de 2024. Actualmente no se ha añadido al KEV de CISA, pero la severidad HIGH indica una probabilidad de explotación significativa. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (recorrido de directorio) la hace susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.88% (75% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-24934 es actualizar Elementor Website Builder a la versión 3.19.1 o posterior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de actualizar y probar la nueva versión en un entorno de pruebas. Como medida temporal, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan patrones sospechosos de manipulación de la entrada. Monitorear los registros del servidor en busca de intentos de acceso no autorizados al sistema de archivos también puede ayudar a detectar y responder a posibles ataques.
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-24934 is a HIGH severity vulnerability in Elementor Website Builder allowing attackers to manipulate web input to access the file system. It affects versions up to 3.19.0.
Yes, if you are using Elementor Website Builder version 3.19.0 or earlier, you are vulnerable to this insecure deserialization flaw.
Upgrade Elementor Website Builder to version 3.19.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.