Plataforma
wordpress
Componente
cowidgets-elementor-addons
Corregido en
1.1.2
La vulnerabilidad CVE-2024-37419 es una falla de Path Traversal descubierta en el plugin Cowidgets – Elementor Addons. Esta falla permite a un atacante acceder a archivos fuera del directorio previsto, comprometiendo potencialmente la confidencialidad de los datos. Afecta a las versiones del plugin desde la versión n/a hasta la 1.1.1. Una actualización a la versión 1.1.2 resuelve esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad de Path Traversal podría leer archivos arbitrarios en el servidor web donde está instalado el plugin Cowidgets – Elementor Addons. Esto podría incluir archivos de configuración, archivos de registro o incluso código fuente, exponiendo información sensible como contraseñas, claves de API o datos de usuarios. El acceso no autorizado a estos archivos podría permitir al atacante obtener control sobre el sitio web, modificar su contenido o incluso comprometer el servidor subyacente. La severidad de esta vulnerabilidad radica en su potencial para escalar privilegios y causar daños significativos a la integridad y confidencialidad de los datos.
La vulnerabilidad CVE-2024-37419 fue publicada el 9 de julio de 2024. Actualmente no se dispone de información sobre campañas de explotación activas. No se ha listado en el KEV de CISA ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
WordPress websites using Cowidgets – Elementor Addons are at risk, particularly those with default file permissions or those running older, unpatched versions of the plugin. Shared hosting environments where users have limited control over server configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cowidgets-elementor-addons/• generic web:
curl -I 'http://example.com/wp-content/plugins/cowidgets-elementor-addons/../../../../etc/passwd' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
0.39% (60% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-37419 es actualizar el plugin Cowidgets – Elementor Addons a la versión 1.1.2 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio previsto. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, verifique que el acceso a archivos sensibles esté restringido y que la vulnerabilidad de Path Traversal haya sido eliminada.
Actualice el plugin Cowidgets – Elementor Addons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 1.1.1. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Cowidgets – Elementor Addons' para actualizarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-37419 is a Path Traversal vulnerability affecting Cowidgets – Elementor Addons versions up to 1.1.1, allowing attackers to read arbitrary files on the server.
You are affected if you are using Cowidgets – Elementor Addons version 1.1.1 or earlier. Check your plugin version and update immediately.
Upgrade Cowidgets – Elementor Addons to version 1.1.2 or later. As a temporary workaround, restrict file access permissions and implement a WAF rule.
As of now, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests it may become a target.
Refer to the Cowidgets website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.