Plateforme
wordpress
Composant
bdthemes-element-pack
Corrigé dans
7.19.3
La vulnérabilité CVE-2024-33568 est une faille d'Insecure Deserialization affectant BdThemes Element Pack Pro, un plugin WordPress. Cette faille permet une traversée de chemin et l'injection d'objets, ce qui peut conduire à la prise de contrôle du serveur. Elle touche les versions du plugin antérieures à 7.19.3. Une version corrigée (7.19.3) est disponible.
Cette vulnérabilité permet à un attaquant de manipuler les données désérialisées, ouvrant la porte à une traversée de chemin. En exploitant cette faille, un attaquant pourrait potentiellement accéder à des fichiers sensibles situés en dehors du répertoire prévu, voire exécuter du code malveillant sur le serveur WordPress. L'injection d'objets amplifie le risque, permettant à l'attaquant de créer ou de modifier des objets arbitraires, compromettant ainsi l'intégrité et la confidentialité des données. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la combinaison de la traversée de chemin et de l'injection d'objets représente un risque significatif pour les sites WordPress utilisant Element Pack Pro.
La vulnérabilité CVE-2024-33568 a été rendue publique le 4 juin 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV de CISA. Un Proof of Concept (PoC) public pourrait être développé, augmentant le risque d'exploitation. Surveillez les forums de sécurité et les dépôts GitHub pour de nouvelles informations.
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
Statut de l'Exploit
EPSS
0.74% (percentile 73%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Element Pack Pro vers la version 7.19.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre les permissions d'écriture sur les répertoires sensibles du serveur WordPress. Il est également recommandé de désactiver temporairement le plugin si possible. En attendant la mise à jour, une configuration WAF (Web Application Firewall) peut être mise en place pour bloquer les requêtes suspectes contenant des données désérialisées malveillantes. Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins.
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-33568 is a HIGH severity vulnerability in BdThemes Element Pack Pro versions up to 7.19.3, allowing Path Traversal and Object Injection through insecure deserialization.
If you are using Element Pack Pro versions 7.19.3 or earlier, you are potentially affected by this vulnerability.
Upgrade Element Pack Pro to version 7.19.3 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the BdThemes website and WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.