Plateforme
wordpress
Composant
jet-elements
Corrigé dans
2.6.21
Une vulnérabilité d'Inclusion Locale de Fichier (LFI) a été découverte dans le plugin JetElements pour WordPress. Cette faille, affectant les versions jusqu'à 2.6.20 inclus, permet à des attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'inclure et d'exécuter des fichiers arbitraires sur le serveur. La mise à jour vers une version corrigée est fortement recommandée pour atténuer ce risque.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code PHP arbitraire sur le serveur WordPress. Cela peut conduire à la compromission complète du site web, incluant le vol de données sensibles, la modification du contenu, l'installation de portes dérobées, ou même le contrôle total du serveur. L'attaquant peut contourner les contrôles d'accès et exploiter la capacité d'inclure des fichiers, même ceux qui sont initialement considérés comme sûrs, comme des images, pour exécuter du code malveillant. Cette vulnérabilité est particulièrement préoccupante car elle ne nécessite qu'un accès de niveau Contributeur, ce qui est relativement facile à obtenir sur de nombreux sites WordPress.
Cette vulnérabilité a été rendue publique le 16 août 2024. Il n'y a pas d'indications d'une exploitation active à grande échelle à ce jour, mais la simplicité de l'exploitation et la popularité du plugin JetElements rendent cette vulnérabilité potentiellement attractive pour les attaquants. Il est probable que des preuves de concept (PoC) publiques soient disponibles ou seront développées prochainement. Surveillez les forums de sécurité et les bases de données de vulnérabilités pour les mises à jour.
WordPress websites using the JetElements plugin, particularly those with multiple users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable. Sites using older, unpatched versions of the plugin are most susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'progress_type' /var/www/html/wp-content/plugins/jet-elements/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-elements• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -type f -name '*.php'disclosure
Statut de l'Exploit
EPSS
0.57% (percentile 69%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin JetElements vers une version corrigée dès que possible. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de restreindre l'accès au paramètre 'progress_type' via un fichier .htaccess, en interdisant l'inclusion de fichiers externes. De plus, une configuration stricte des permissions des fichiers et des répertoires WordPress peut limiter l'impact potentiel de l'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers du plugin pour vous assurer qu'ils n'ont pas été altérés.
Actualice el plugin JetElements a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-7145 is a Local File Inclusion vulnerability in the JetElements WordPress plugin, allowing authenticated users to execute arbitrary PHP code. It affects versions up to 2.6.20 and poses a significant security risk.
You are affected if your WordPress site uses the JetElements plugin and is running version 2.6.20 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the JetElements plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
There is currently no confirmed active exploitation of CVE-2024-7145, but the availability of a proof-of-concept makes it a potential target.
Refer to the official JetElements plugin website or their support channels for the latest advisory and updates regarding CVE-2024-7145.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.