Plateforme
wordpress
Composant
consulting-elementor-widgets
Corrigé dans
1.3.1
Une vulnérabilité de contournement de chemin (Path Traversal) a été découverte dans le plugin Consulting Elementor Widgets. Cette faille permet à un attaquant d'inclure des fichiers locaux PHP, potentiellement menant à l'exécution de code malveillant sur le serveur. Elle affecte les versions du plugin antérieures ou égales à 1.3.0. Une mise à jour vers la version 1.3.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers sensibles situés sur le serveur web, y compris des fichiers de configuration, des clés API, et potentiellement des données utilisateur. Dans le pire des cas, un attaquant pourrait exécuter du code arbitraire sur le serveur, compromettant ainsi l'ensemble de l'application WordPress et les données qu'elle contient. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée à distance sans authentification, ce qui augmente considérablement sa portée et son impact potentiel. Elle présente des similitudes avec d'autres failles de type Path Traversal qui ont permis l'accès à des informations confidentielles et la prise de contrôle de serveurs.
Cette vulnérabilité a été rendue publique le 24 juin 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Des preuves de concept (PoC) pourraient être disponibles publiquement, ce qui pourrait augmenter le risque d'exploitation à l'avenir.
WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
1.08% (percentile 78%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Consulting Elementor Widgets vers la version 1.3.1 ou supérieure. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès au répertoire du plugin via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez des règles pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que ../ ou ..\. Vérifiez également les permissions des fichiers et des répertoires du plugin pour vous assurer qu'ils sont correctement configurés et qu'ils ne sont pas accessibles par des utilisateurs non autorisés. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été altérés.
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.0. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37092 is a Path Traversal vulnerability in Consulting Elementor Widgets allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Consulting Elementor Widgets version 1.3.0 or earlier, you are vulnerable to this path traversal attack.
Upgrade Consulting Elementor Widgets to version 1.3.1 or later to resolve this vulnerability. Consider temporary WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Check the StylemixThemes website and WordPress plugin repository for the latest advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.