Plateforme
wordpress
Composant
addons-for-elementor
Corrigé dans
8.3.8
La vulnérabilité CVE-2024-2385 affecte le plugin Elementor Addons by Livemesh pour WordPress. Elle permet une inclusion locale de fichiers (LFI) via l'attribut 'style' de plusieurs widgets du plugin. Cette faille permet à des attaquants authentifiés, disposant d'un accès de contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur, affectant les versions jusqu'à 8.3.7. Une mise à jour vers une version corrigée est recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant authentifié d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, incluant la modification de contenu, l'insertion de portes dérobées, le vol de données sensibles (informations utilisateur, données de configuration, etc.) et potentiellement l'accès à d'autres systèmes sur le même réseau. La capacité d'inclure des fichiers arbitraires contourne les contrôles d'accès, rendant l'attaque particulièrement dangereuse. Le fait que l'attaquant n'ait besoin que d'un accès de contributeur facilite l'exploitation, car ce niveau d'accès est souvent accordé à de nombreux utilisateurs.
Cette vulnérabilité a été rendue publique le 4 juillet 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la popularité du plugin Elementor. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation. Consultez le site web de Livemesh et le registre des vulnérabilités NVD pour les mises à jour.
WordPress websites using Elementor Addons by Livemesh, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy WordPress installations with outdated security practices are especially vulnerable.
• wordpress / composer / npm:
grep -r 'style=".*/wp-content/uploads/' /var/www/html/wp-content/plugins/elementor-addons-by-livemesh/• wordpress / composer / npm:
wp plugin list --status=inactive | grep elementor-addons-by-livemesh• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/elementor-addons-by-livemesh/style.php?style=/etc/passwddisclosure
Statut de l'Exploit
EPSS
0.24% (percentile 47%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Elementor Addons by Livemesh vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fichiers uploadés et de renforcer les contrôles d'accès sur le serveur WordPress. En attendant la mise à jour, il est possible de désactiver temporairement les widgets concernés. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des requêtes contenant des chemins de fichiers suspects est conseillée. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin et effectuez un scan de sécurité complet du site web.
Actualice el plugin Elementor Addons by Livemesh a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-2385 is a Local File Inclusion vulnerability in Elementor Addons by Livemesh for WordPress, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Elementor Addons by Livemesh version 8.3.7 or earlier. Check your plugin version immediately.
Upgrade Elementor Addons by Livemesh to a version higher than 8.3.7. If immediate upgrade isn't possible, restrict file uploads and user permissions.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a high-priority risk. Monitor for updates.
Refer to the official Elementor Addons website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.