Plateforme
wordpress
Composant
cowidgets-elementor-addons
Corrigé dans
1.1.2
La vulnérabilité CVE-2024-37419 est une faille de contournement de chemin (Path Traversal) affectant le plugin Cowidgets – Elementor Addons. Cette faille permet à un attaquant d'accéder à des fichiers situés en dehors du répertoire prévu, compromettant potentiellement la confidentialité des données. Elle touche les versions du plugin inférieures ou égales à 1.1.1, et une correction a été déployée dans la version 1.1.2.
Un attaquant exploitant cette vulnérabilité peut potentiellement lire des fichiers sensibles sur le serveur web, tels que des fichiers de configuration, des clés API ou des données utilisateur. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations confidentielles, à la compromission du système ou à une prise de contrôle du serveur. La gravité de l'impact dépend de la sensibilité des fichiers accessibles et des privilèges de l'attaquant. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée à distance sans authentification, ce qui augmente la surface d'attaque.
Cette vulnérabilité a été rendue publique le 9 juillet 2024. Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la nature de la vulnérabilité (contournement de chemin sans authentification) la rend potentiellement attractive pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour sur l'exploitation de cette faille.
WordPress websites using Cowidgets – Elementor Addons are at risk, particularly those with default file permissions or those running older, unpatched versions of the plugin. Shared hosting environments where users have limited control over server configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cowidgets-elementor-addons/• generic web:
curl -I 'http://example.com/wp-content/plugins/cowidgets-elementor-addons/../../../../etc/passwd' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
0.39% (percentile 60%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Cowidgets – Elementor Addons vers la version 1.1.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre les permissions d'accès aux fichiers et répertoires du serveur web. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes contenant des séquences de caractères de contournement de chemin (par exemple, '../'). Vérifiez après la mise à jour que le plugin fonctionne correctement et qu'il n'y a pas de conflits avec d'autres plugins ou thèmes.
Actualice el plugin Cowidgets – Elementor Addons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 1.1.1. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Cowidgets – Elementor Addons' para actualizarlo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37419 is a Path Traversal vulnerability affecting Cowidgets – Elementor Addons versions up to 1.1.1, allowing attackers to read arbitrary files on the server.
You are affected if you are using Cowidgets – Elementor Addons version 1.1.1 or earlier. Check your plugin version and update immediately.
Upgrade Cowidgets – Elementor Addons to version 1.1.2 or later. As a temporary workaround, restrict file access permissions and implement a WAF rule.
As of now, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests it may become a target.
Refer to the Cowidgets website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.