Plataforma
wordpress
Componente
bdthemes-element-pack
Corregido en
7.19.3
La vulnerabilidad CVE-2024-33568 es una falla de Insecure Deserialization que afecta a Element Pack Pro, un plugin popular para WordPress. Esta falla, clasificada como Path Traversal y Object Injection, permite a atacantes acceder a archivos sensibles y potencialmente ejecutar código arbitrario en el servidor. La vulnerabilidad afecta a versiones de Element Pack Pro anteriores a 7.19.3. Se recomienda actualizar inmediatamente a la versión 7.19.3 para mitigar el riesgo.
La explotación exitosa de CVE-2024-33568 puede tener consecuencias graves. Un atacante podría utilizar la vulnerabilidad de Path Traversal para leer archivos confidenciales del servidor, como archivos de configuración, contraseñas o datos de usuarios. Además, la inyección de objetos podría permitir la ejecución de código arbitrario, otorgando al atacante control total sobre el sitio web. Esto podría resultar en la pérdida de datos, la interrupción del servicio o el compromiso completo del servidor. La naturaleza de la deserialización no controlada la convierte en una vulnerabilidad de alta severidad, similar a otras explotaciones de deserialización que han afectado a plataformas web.
CVE-2024-33568 fue publicado el 4 de junio de 2024. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de la descripción técnica sugiere que un PoC podría ser desarrollado en breve. La vulnerabilidad se ha añadido al catálogo KEV de CISA, lo que indica una probabilidad de explotación moderada. Se recomienda monitorear activamente los sistemas afectados para detectar cualquier actividad sospechosa.
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
Estado del Exploit
EPSS
0.74% (73% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-33568 es actualizar Element Pack Pro a la versión 7.19.3 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad. Además, revise los permisos de archivos y directorios para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique la integridad del sitio web y los archivos para confirmar que la vulnerabilidad ha sido resuelta.
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-33568 is a HIGH severity vulnerability in BdThemes Element Pack Pro versions up to 7.19.3, allowing Path Traversal and Object Injection through insecure deserialization.
If you are using Element Pack Pro versions 7.19.3 or earlier, you are potentially affected by this vulnerability.
Upgrade Element Pack Pro to version 7.19.3 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the BdThemes website and WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.