Plataforma
wordpress
Componente
consulting-elementor-widgets
Corregido en
1.3.1
La vulnerabilidad CVE-2024-37089 es una falla de Inclusión de Archivos Locales (LFI) en el plugin Consulting Elementor Widgets para WordPress. Esta falla permite a un atacante, mediante la manipulación de una ruta de archivo, acceder a archivos arbitrarios en el servidor. La vulnerabilidad afecta a versiones del plugin desde la versión n/a hasta la 1.3.0, y se ha solucionado en la versión 1.3.1.
Un atacante que explote esta vulnerabilidad puede leer archivos confidenciales del servidor, incluyendo archivos de configuración, contraseñas, código fuente y otros datos sensibles. Esto podría resultar en la divulgación de información confidencial, la toma de control del sitio web o incluso el acceso al servidor subyacente. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de los sistemas afectados. La capacidad de incluir archivos arbitrarios abre la puerta a una amplia gama de ataques, potencialmente permitiendo la ejecución de código malicioso si el atacante puede encontrar o inyectar código en un archivo incluido.
Esta vulnerabilidad fue publicada el 24 de junio de 2024. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza crítica de la falla y la disponibilidad de información técnica la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas afectados y aplicar las medidas de mitigación necesarias.
WordPress websites using the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited access controls and a higher concentration of vulnerable plugins. Sites with weak file permissions or inadequate WAF protection are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/consulting-elementor-widgets/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd• wordpress / composer / npm:
wp plugin list --status=inactive | grep consulting-elementor-widgetsdisclosure
patch
Estado del Exploit
EPSS
0.97% (77% percentil)
CISA SSVC
Vector CVSS
La solución recomendada es actualizar inmediatamente el plugin Consulting Elementor Widgets a la versión 1.3.1 o superior. Si la actualización no es posible de inmediato, se pueden aplicar algunas medidas de mitigación temporales. Restrinja los permisos de escritura en el directorio del plugin para evitar la inyección de archivos maliciosos. Implemente reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio esperado. Monitoree los registros del servidor en busca de intentos de acceso a archivos inusuales o sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las rutas de archivo se manejan correctamente y que no se pueden manipular para acceder a archivos no autorizados.
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales no autenticada se ha corregido en versiones posteriores a la 1.3.0. Consulte el registro de cambios del plugin para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37089 es una vulnerabilidad de Inclusión de Archivos Locales (LFI) en el plugin Consulting Elementor Widgets para WordPress, permitiendo a atacantes acceder a archivos sensibles del servidor.
Si está utilizando el plugin Consulting Elementor Widgets en versiones anteriores a 1.3.1, es vulnerable a esta falla. Verifique la versión instalada y actualice lo antes posible.
La solución es actualizar el plugin Consulting Elementor Widgets a la versión 1.3.1 o superior. Si no puede actualizar, aplique medidas de mitigación temporales como restringir permisos y usar un WAF.
Aunque no se ha confirmado la explotación activa, la naturaleza crítica de la falla la convierte en un objetivo potencial para los atacantes. Monitoree sus sistemas y aplique las medidas de seguridad necesarias.
Consulte el sitio web del desarrollador del plugin o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.