Plateforme
wordpress
Composant
ultimate-bootstrap-elements-for-elementor
Corrigé dans
1.4.3
La vulnérabilité CVE-2024-37462 est une faille de Traversal de Chemin (Path Traversal) affectant le plugin Ultimate Bootstrap Elements pour Elementor. Cette faille permet à un attaquant non authentifié d'accéder à des fichiers arbitraires sur le serveur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle concerne les versions du plugin inférieures ou égales à 1.4.2 et a été corrigée dans la version 1.4.3.
Un attaquant exploitant cette vulnérabilité peut lire des fichiers sensibles situés en dehors du répertoire web, tels que des fichiers de configuration, des clés API, ou même des données sensibles stockées sur le serveur. L'accès non autorisé à ces fichiers peut conduire à la divulgation d'informations confidentielles, à la compromission du serveur, ou à l'exécution de code malveillant. Le Traversal de Chemin est une vulnérabilité courante, et une exploitation réussie peut avoir un impact significatif sur la sécurité d'un site WordPress. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite pas d'authentification, ce qui signifie que n'importe qui peut tenter de l'exploiter.
La vulnérabilité CVE-2024-37462 a été rendue publique le 9 juillet 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend facilement exploitable. Aucun PoC public n'a été rapporté à ce jour, mais la probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de l'absence de protection par défaut. Il est recommandé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
WordPress websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.2) and those with weak file permission configurations, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I 'http://example.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Statut de l'Exploit
EPSS
1.66% (percentile 82%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin Ultimate Bootstrap Elements pour Elementor vers la version 1.4.3 ou supérieure. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant les autorisations d'accès aux fichiers du serveur et en mettant en place un pare-feu d'application web (WAF) capable de bloquer les requêtes suspectes. Vérifiez également les règles de votre serveur web pour vous assurer qu'elles ne permettent pas l'accès à des fichiers sensibles en dehors du répertoire web. Après la mise à jour, vérifiez l'intégrité du plugin en comparant son hachage MD5 avec celui fourni par le développeur.
Actualice el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.2. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Ultimate Bootstrap Elements for Elementor' para actualizarlo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-37462 is a Path Traversal vulnerability affecting Ultimate Bootstrap Elements for Elementor plugin versions up to 1.4.2, allowing attackers to access arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.3 or later to resolve the vulnerability. Implement file access restrictions as a temporary workaround.
While no active exploitation has been confirmed, the ease of exploitation for Path Traversal vulnerabilities suggests that exploitation is possible.
Refer to the official G5Theme website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-37462.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.