Plataforma
wordpress
Componente
consulting-elementor-widgets
Corregido en
1.3.1
La vulnerabilidad CVE-2024-37092 es una falla de Path Traversal descubierta en el plugin Consulting Elementor Widgets. Esta falla permite a un atacante incluir archivos locales PHP, lo que podría resultar en la ejecución remota de código. La vulnerabilidad afecta a versiones del plugin desde la versión n/a hasta la 1.3.0, y ha sido solucionada en la versión 1.3.1.
Un atacante puede explotar esta vulnerabilidad para leer archivos sensibles en el servidor, incluyendo archivos de configuración, contraseñas y código fuente. En el peor de los casos, esto podría permitir la ejecución remota de código, dando al atacante control total sobre el servidor web. La inclusión de archivos locales PHP abre una puerta para la manipulación de la lógica de la aplicación y el robo de información confidencial. Esta vulnerabilidad es particularmente peligrosa en entornos de alojamiento compartido, donde un atacante podría usarla para comprometer otros sitios web en el mismo servidor.
La vulnerabilidad fue publicada el 24 de junio de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (Path Traversal) la hace susceptible a escaneos automatizados y explotación por parte de actores maliciosos. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción.
WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.08% (78% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Consulting Elementor Widgets a la versión 1.3.1 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del plugin a través de un firewall de aplicaciones web (WAF) o reglas de proxy. Además, se debe revisar la configuración del servidor web para asegurarse de que no se permita la ejecución de PHP en directorios donde no se espera. Implementar un sistema de detección de intrusiones (IDS) puede ayudar a identificar intentos de explotación de esta vulnerabilidad.
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.0. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37092 is a Path Traversal vulnerability in Consulting Elementor Widgets allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Consulting Elementor Widgets version 1.3.0 or earlier, you are vulnerable to this path traversal attack.
Upgrade Consulting Elementor Widgets to version 1.3.1 or later to resolve this vulnerability. Consider temporary WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Check the StylemixThemes website and WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.