Plataforma
wordpress
Componente
lastudio-element-kit
Corregido en
1.3.9
La vulnerabilidad CVE-2024-5349 afecta al plugin LA-Studio Element Kit para WordPress, permitiendo una Inclusión de Archivos (LFI) a través del parámetro 'map_style'. Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos arbitrarios en el servidor, comprometiendo la seguridad del sitio web. La vulnerabilidad se presenta en todas las versiones hasta la 1.3.8.1, y la solución recomendada es actualizar a una versión corregida del plugin.
La Inclusión de Archivos (LFI) en LA-Studio Element Kit representa un riesgo significativo para los sitios web que utilizan este plugin. Un atacante con acceso autenticado (Contribuidor o superior) puede explotar esta vulnerabilidad para incluir y ejecutar código PHP arbitrario en el servidor. Esto podría resultar en la ejecución remota de código (RCE), permitiendo al atacante tomar control total del sitio web. El atacante podría acceder a información sensible almacenada en el servidor, modificar archivos del sitio, instalar malware o incluso utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La capacidad de ejecutar código arbitrario implica un alto riesgo de compromiso de la confidencialidad, integridad y disponibilidad del sitio web y sus datos.
Actualmente, no se han reportado casos de explotación activa de CVE-2024-5349. La vulnerabilidad ha sido publicada el 2 de julio de 2024. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'disclosure
Estado del Exploit
EPSS
0.49% (65% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-5349 es actualizar el plugin LA-Studio Element Kit a la última versión disponible, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al parámetro 'map_style' a través de reglas de firewall de aplicaciones web (WAF) o configuraciones del servidor. Además, es crucial revisar los permisos de usuario en WordPress, asegurándose de que solo los usuarios con privilegios necesarios tengan acceso al plugin. Monitorear los logs del servidor en busca de intentos de inclusión de archivos sospechosos también puede ayudar a detectar y prevenir ataques. Después de la actualización, confirme la mitigación revisando los logs del servidor y realizando pruebas de penetración básicas.
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5349 is a Local File Inclusion vulnerability in the LA-Studio Element Kit for Elementor WordPress plugin, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using LA-Studio Element Kit for Elementor version 1.3.8.1 or earlier.
Upgrade to the latest version of the LA-Studio Element Kit for Elementor plugin as soon as a patch is released. Until then, implement mitigation steps like restricting file uploads and input validation.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Check the LA-Studio Element Kit website and WordPress plugin repository for updates and advisories related to CVE-2024-5349.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.