Plataforma
wordpress
Componente
jet-elements
Corregido en
2.6.21
La vulnerabilidad CVE-2024-7145 afecta al plugin JetElements para WordPress, permitiendo la inclusión de archivos locales (LFI). Esta falla permite a atacantes autenticados, con privilegios de Contribuidor o superiores, incluir y ejecutar archivos PHP arbitrarios en el servidor. Las versiones afectadas son todas las versiones hasta la 2.6.20 inclusive. Se recomienda actualizar a la última versión disponible o aplicar medidas de mitigación para reducir el riesgo.
Un atacante que explote esta vulnerabilidad puede lograr la ejecución remota de código (RCE) en el servidor WordPress. Al incluir archivos PHP arbitrarios, el atacante puede acceder a información sensible, modificar la configuración del sitio, instalar malware o incluso tomar el control completo del servidor. La capacidad de subir imágenes u otros archivos “seguros” que luego puedan ser incluidos agrava el riesgo, permitiendo la ejecución de código malicioso. Esta vulnerabilidad es particularmente preocupante debido a la popularidad del plugin JetElements y la facilidad con la que un atacante autenticado puede explotarla.
Esta vulnerabilidad fue publicada el 16 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad (LFI con potencial de RCE) la convierte en un objetivo atractivo para atacantes. La baja complejidad de la explotación aumenta la probabilidad de que sea explotada en el futuro. Se recomienda monitorear activamente los sistemas vulnerables.
WordPress websites using the JetElements plugin, particularly those with multiple users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable. Sites using older, unpatched versions of the plugin are most susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'progress_type' /var/www/html/wp-content/plugins/jet-elements/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-elements• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -type f -name '*.php'disclosure
Estado del Exploit
EPSS
0.57% (69% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin JetElements a la última versión disponible, que corrige esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda restringir el acceso al parámetro 'progress_type' mediante reglas de firewall o proxy web (WAF). Además, revise los permisos de los archivos y directorios del plugin para asegurar que solo los usuarios autorizados tengan acceso de escritura. Monitoree los logs del servidor en busca de intentos de inclusión de archivos sospechosos.
Actualice el plugin JetElements a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-7145 is a Local File Inclusion vulnerability in the JetElements WordPress plugin, allowing authenticated users to execute arbitrary PHP code. It affects versions up to 2.6.20 and poses a significant security risk.
You are affected if your WordPress site uses the JetElements plugin and is running version 2.6.20 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the JetElements plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
There is currently no confirmed active exploitation of CVE-2024-7145, but the availability of a proof-of-concept makes it a potential target.
Refer to the official JetElements plugin website or their support channels for the latest advisory and updates regarding CVE-2024-7145.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.