Plateforme
wordpress
Composant
pdf-generator-addon-for-elementor-page-builder
Corrigé dans
1.7.6
Le plugin PDF Generator Addon pour Elementor Page Builder est vulnérable à une faille de Path Traversal. Cette vulnérabilité permet à des attaquants non authentifiés de lire le contenu de fichiers arbitraires sur le serveur. Les versions affectées sont celles inférieures ou égales à 1.7.5. Une mise à jour vers une version corrigée est recommandée pour éliminer ce risque.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers sensibles stockés sur le serveur WordPress. Cela peut inclure des fichiers de configuration contenant des informations d'identification de base de données, des fichiers de code source contenant des secrets, ou d'autres données confidentielles. L'attaquant pourrait potentiellement obtenir un accès complet aux données du site web et compromettre sa sécurité. Bien que la vulnérabilité ne permette pas directement l'exécution de code, la lecture de fichiers de configuration pourrait fournir les informations nécessaires pour lancer d'autres attaques.
Cette vulnérabilité a été rendue publique le 16 novembre 2024. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
WordPress websites utilizing the PDF Generator Addon for Elementor Page Builder plugin, particularly those running versions prior to 1.7.5, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. Websites with sensitive data stored on the server, such as database credentials or API keys, are at heightened risk of compromise.
• wordpress / composer / npm:
grep -r 'rtw_pgaepb_dwnld_pdf()' /var/www/html/wp-content/plugins/pdf-generator-for-elementor/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-generator-for-elementor/rtw_pgaepb_dwnld_pdf?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=active | grep 'pdf-generator-for-elementor'disclosure
Statut de l'Exploit
EPSS
93.62% (percentile 100%)
CISA SSVC
Vecteur CVSS
La mesure d'atténuation principale consiste à mettre à jour le plugin PDF Generator Addon vers la dernière version disponible, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est possible de restreindre les permissions du serveur web pour limiter l'accès aux fichiers sensibles. L'utilisation d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes exploitant cette vulnérabilité. Surveiller les journaux du serveur pour détecter des tentatives d'accès à des fichiers inhabituels peut aider à identifier une exploitation en cours.
Actualice el plugin PDF Generator Addon for Elementor Page Builder a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal que permite la descarga de archivos arbitrarios sin autenticación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9935 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server using the PDF Generator Addon for Elementor Page Builder plugin, impacting versions up to 1.7.5.
You are affected if your WordPress site uses the PDF Generator Addon for Elementor Page Builder plugin in a version equal to or lower than 1.7.5.
Upgrade the PDF Generator Addon for Elementor Page Builder plugin to a version higher than 1.7.5. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high probability if unpatched.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and updated version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.