プラットフォーム
wordpress
コンポーネント
addons-for-elementor
修正版
8.3.8
Elementor Addons by Livemeshプラグインのローカルファイルインクルージョン(LFI)脆弱性(CVE-2024-2385)が確認されました。この脆弱性は、攻撃者が認証された状態で、サーバー上の任意のファイルをインクルードし、実行可能なPHPコードを挿入することを可能にします。影響を受けるバージョンは、8.3.7以前です。プラグインのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者はElementor Addons by LivemeshプラグインがインストールされているWordPressサイト上で、認証された状態で任意のPHPコードを実行できます。これにより、機密情報の窃取、Webサイトの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、アップロードされた画像ファイルなどを悪用して、悪意のあるPHPコードをサーバーに注入し、実行させることが考えられます。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
CVE-2024-2385は、2024年7月4日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、LFI脆弱性であるため、悪用コードが公開される可能性はあります。CISAのKEVリストへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。
WordPress websites using Elementor Addons by Livemesh, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy WordPress installations with outdated security practices are especially vulnerable.
• wordpress / composer / npm:
grep -r 'style=".*/wp-content/uploads/' /var/www/html/wp-content/plugins/elementor-addons-by-livemesh/• wordpress / composer / npm:
wp plugin list --status=inactive | grep elementor-addons-by-livemesh• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/elementor-addons-by-livemesh/style.php?style=/etc/passwddisclosure
エクスプロイト状況
EPSS
0.24% (47% パーセンタイル)
CISA SSVC
CVSS ベクトル
Elementor Addons by Livemeshプラグインのバージョンを8.3.8以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、一時的な回避策として、プラグインのファイルパーミッションを制限したり、WordPressのセキュリティプラグインを使用して、ファイルインクルージョンの試行を監視することができます。また、WAF(Web Application Firewall)を導入し、悪意のあるリクエストをブロックすることも有効です。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。
Actualice el plugin Elementor Addons by Livemesh a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-2385は、Elementor Addons by Livemeshプラグインのバージョン8.3.7以前に存在する、攻撃者が任意のファイルを読み込める脆弱性です。
Elementor Addons by Livemeshプラグインのバージョンが8.3.7以前の場合、影響を受けます。最新バージョンへのアップデートが必要です。
Elementor Addons by Livemeshプラグインをバージョン8.3.8以降にアップデートしてください。
現時点では公的な悪用事例は確認されていませんが、LFI脆弱性であるため、悪用コードが公開される可能性があります。
Elementorの公式ウェブサイトまたはセキュリティブログで最新のアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。