Plateforme
wordpress
Composant
elementor
Corrigé dans
3.19.1
La vulnérabilité CVE-2024-24934 est une faille de contournement de chemin (Path Traversal) découverte dans Elementor Website Builder. Cette faille permet à un attaquant de manipuler les entrées web pour accéder à des fichiers sensibles du système. Elle affecte les versions du constructeur de site web Elementor inférieures ou égales à 3.19.0. Une version corrigée, 3.19.1, est désormais disponible.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers arbitraires sur le serveur web, compromettant ainsi la confidentialité des données sensibles. En accédant à des fichiers de configuration ou des données de base, un attaquant pourrait obtenir des informations d'identification, des clés API ou d'autres informations critiques. Dans certains cas, une exploitation réussie pourrait même permettre l'exécution de code à distance, en fonction des permissions du serveur et des fichiers accessibles. Cette vulnérabilité est similaire à d'autres failles de Path Traversal qui ont permis l'accès non autorisé à des données sensibles dans le passé.
La vulnérabilité CVE-2024-24934 a été rendue publique le 17 mai 2024. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Bien qu'aucun exploit public n'ait été largement diffusé, la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des acteurs malveillants. Il est donc crucial d'appliquer la correction dès que possible.
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.88% (percentile 75%)
CISA SSVC
Vecteur CVSS
La mesure de mitigation la plus importante est de mettre à jour Elementor Website Builder vers la version 3.19.1 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les permissions du serveur web et en désactivant temporairement les fonctionnalités qui pourraient être exploitées. Il est également recommandé de surveiller les journaux du serveur pour détecter toute activité suspecte. Si une mise à jour n'est pas immédiatement possible, envisagez de mettre en place des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant les fichiers sensibles. Après la mise à jour, vérifiez l'intégrité des fichiers Elementor pour confirmer que la correction a été appliquée correctement.
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-24934 is a HIGH severity vulnerability in Elementor Website Builder allowing attackers to manipulate web input to access the file system. It affects versions up to 3.19.0.
Yes, if you are using Elementor Website Builder version 3.19.0 or earlier, you are vulnerable to this insecure deserialization flaw.
Upgrade Elementor Website Builder to version 3.19.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.