Plateforme
wordpress
Composant
lastudio-element-kit
Corrigé dans
1.3.9
La vulnérabilité CVE-2024-5349 affecte le plugin LA-Studio Element Kit pour Elementor, une extension WordPress. Cette faille d'inclusion de fichiers locaux (LFI) permet à un attaquant authentifié, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. Les versions concernées sont celles inférieures ou égales à 1.3.8.1. Une correction est disponible et son application est fortement recommandée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, y compris le vol de données sensibles, la modification du contenu, l'installation de portes dérobées et l'utilisation du serveur pour lancer d'autres attaques. L'attaquant peut potentiellement contourner les contrôles d'accès et obtenir un contrôle total sur l'environnement WordPress. Le risque est amplifié si le serveur héberge plusieurs sites web, car une compromission pourrait affecter plusieurs applications.
Cette vulnérabilité est publique depuis le 2 juillet 2024. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la facilité d'exploitation et de la popularité du plugin. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'disclosure
Statut de l'Exploit
EPSS
0.49% (percentile 65%)
CISA SSVC
Vecteur CVSS
La mesure d'atténuation principale est la mise à jour du plugin LA-Studio Element Kit vers la dernière version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès au répertoire d'upload des fichiers et de désactiver temporairement la fonctionnalité concernée. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes ciblant le paramètre 'map_style'. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, notamment les tentatives d'inclusion de fichiers non autorisés.
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-5349 is a Local File Inclusion vulnerability in the LA-Studio Element Kit for Elementor WordPress plugin, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using LA-Studio Element Kit for Elementor version 1.3.8.1 or earlier.
Upgrade to the latest version of the LA-Studio Element Kit for Elementor plugin as soon as a patch is released. Until then, implement mitigation steps like restricting file uploads and input validation.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Check the LA-Studio Element Kit website and WordPress plugin repository for updates and advisories related to CVE-2024-5349.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.