Plateforme
wordpress
Composant
ultimate-bootstrap-elements-for-elementor
Corrigé dans
1.4.5
Une vulnérabilité de type Path Traversal a été découverte dans le plugin WordPress Ultimate Bootstrap Elements for Elementor. Cette faille, affectant les versions inférieures ou égales à 1.4.4, permet une inclusion de fichiers locaux PHP (LFI), offrant potentiellement à un attaquant un accès non autorisé aux fichiers sensibles du serveur. La vulnérabilité a été publiée le 13 août 2024 et une version corrigée (1.4.5) est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'inclure des fichiers arbitraires sur le serveur web. Cela peut conduire à la divulgation d'informations sensibles, telles que des fichiers de configuration, des clés API, ou même des codes sources. Dans le pire des cas, un attaquant pourrait exécuter du code PHP malveillant, compromettant ainsi l'ensemble du site WordPress. Bien que la vulnérabilité soit spécifique à ce plugin, son impact peut être significatif en raison de la nature sensible des informations potentiellement accessibles.
La vulnérabilité CVE-2024-43140 est actuellement publique. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la disponibilité d'une preuve de concept (PoC) augmente le risque d'exploitation. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de l'exploitation de Path Traversal et de la popularité du plugin.
Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.91% (percentile 76%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour le plugin Ultimate Bootstrap Elements for Elementor vers la version 1.4.5 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès au fichier vulnérable via un fichier .htaccess, en interdisant l'exécution de scripts PHP dans le répertoire concerné. Vérifiez également les permissions des fichiers et des répertoires pour vous assurer qu'ils sont correctement configurés et limitent l'accès aux utilisateurs autorisés. Après la mise à jour, vérifiez l'intégrité du plugin en recherchant des fichiers suspects ou des modifications inattendues.
Actualiza el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.4. Verifica que la versión actualizada sea segura y aplica las últimas actualizaciones de seguridad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-43140 is a Path Traversal vulnerability affecting the Ultimate Bootstrap Elements for Elementor plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.4 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.5 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but proactive mitigation is still recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.