プラットフォーム
wordpress
コンポーネント
bdthemes-element-pack
修正版
7.19.3
CVE-2024-33568は、BdThemes Element Pack Proにおける不適切なパス制限(Path Traversal)および信頼できないデータのデシリアライゼーションの脆弱性です。この脆弱性を悪用されると、攻撃者はファイルシステムへの不正アクセスやオブジェクトインジェクションを実行する可能性があります。影響を受けるバージョンはElement Pack Proの7.19.3以前です。最新バージョン7.19.3へのアップデートが推奨されます。
この脆弱性は、攻撃者がElement Pack Proを通じてサーバー上の機密ファイルにアクセスすることを可能にします。Path Traversal攻撃は、攻撃者がディレクトリ構造を操作し、本来アクセスできないファイルに到達することを可能にします。さらに、信頼できないデータのデシリアライゼーションは、悪意のあるオブジェクトを挿入し、サーバーの実行コードを制御する可能性があります。攻撃者は、機密情報を盗み出し、システムを改ざんし、さらにはサーバー全体を乗っ取る可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。
CVE-2024-33568は2024年6月4日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、Path Traversalの脆弱性は一般的に悪用されやすいと考えられます。CISAのKEVリストへの登録状況は不明です。NVD(National Vulnerability Database)も同様に、まだ情報がありません。
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
エクスプロイト状況
EPSS
0.74% (73% パーセンタイル)
CISA SSVC
CVSS ベクトル
Element Pack Proのバージョン7.19.3へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合は、一時的な緩和策として、WordPressのファイルパーミッションを厳しく制限し、Element Pack Proのディレクトリへのアクセスを制限することを検討してください。また、WAF(Web Application Firewall)を導入し、Path Traversal攻撃を検知・防御するルールを設定することも有効です。ファイルアクセスログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、Element Pack Proのファイルパーミッションが適切に設定されていることを確認してください。
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-33568は、Element Pack Pro (≤7.19.3)におけるPath Traversalおよび信頼できないデータのデシリアライゼーションの脆弱性です。攻撃者はファイルシステムへの不正アクセスやオブジェクトインジェクションを実行する可能性があります。
Element Pack Proのバージョンが7.19.3以前の場合は、この脆弱性に影響を受ける可能性があります。バージョン7.19.3にアップデートすることを推奨します。
Element Pack Proをバージョン7.19.3にアップデートしてください。アップデートがすぐに利用できない場合は、ファイルパーミッションの制限やWAFの導入などの緩和策を検討してください。
現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、Path Traversalの脆弱性は一般的に悪用されやすいと考えられます。
BdThemesの公式ウェブサイトでElement Pack Proのセキュリティアドバイザリをご確認ください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。