Plataforma
wordpress
Componente
ultimate-bootstrap-elements-for-elementor
Corregido en
1.4.5
Se ha identificado una vulnerabilidad de Path Traversal en el plugin Ultimate Bootstrap Elements para Elementor, permitiendo la inclusión de archivos locales PHP. Esta vulnerabilidad, clasificada con una severidad ALTA (CVSS 7.5), permite a un atacante potencialmente ejecutar código malicioso en el servidor. Afecta a las versiones del plugin hasta la 1.4.4, y se recomienda actualizar a la versión 1.4.5 para solucionar el problema.
La vulnerabilidad de Path Traversal en Ultimate Bootstrap Elements permite a un atacante, mediante la manipulación de la ruta de archivo, acceder a archivos sensibles en el servidor web. Esto podría incluir archivos de configuración, código fuente, o incluso archivos de base de datos. La inclusión de archivos locales PHP permite la ejecución remota de código, lo que significa que un atacante podría tomar el control completo del servidor. Un atacante podría, por ejemplo, subir un archivo PHP malicioso y ejecutarlo, comprometiendo la integridad y confidencialidad de los datos del sitio web. La severidad ALTA de esta vulnerabilidad indica un riesgo significativo para los sitios web que utilizan este plugin.
Esta vulnerabilidad ha sido publicada públicamente el 13 de agosto de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace susceptible a explotación. Se recomienda monitorear activamente los registros del servidor en busca de actividad sospechosa.
Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.91% (76% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el plugin Ultimate Bootstrap Elements para Elementor a la versión 1.4.5 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio web antes de proceder. Como medida temporal, se puede implementar una regla en un Web Application Firewall (WAF) para bloquear solicitudes que contengan caracteres sospechosos en la ruta del archivo. Además, revise los permisos de los archivos y directorios del sitio web para asegurar que solo los usuarios autorizados tengan acceso a ellos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que no se pueden acceder a archivos sensibles a través de la manipulación de la ruta del archivo.
Actualiza el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.4. Verifica que la versión actualizada sea segura y aplica las últimas actualizaciones de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-43140 is a Path Traversal vulnerability affecting the Ultimate Bootstrap Elements for Elementor plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.4 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.5 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but proactive mitigation is still recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.