Platform
wordpress
Component
elementor
Opgelost in
3.19.1
CVE-2024-24934 beschrijft een Insecure Deserialization kwetsbaarheid in de Elementor Website Builder plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om webinvoer te manipuleren, wat kan leiden tot ongeautoriseerde toegang tot het bestandssysteem. De kwetsbaarheid treft versies van Elementor Website Builder tot en met 3.19.0. Een fix is beschikbaar in versie 3.19.1.
Deze Insecure Deserialization kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de server waarop de Elementor plugin is geïnstalleerd. Door het manipuleren van deserialisatieprocessen kan een aanvaller potentieel gevoelige bestanden lezen, wijzigen of verwijderen, of zelfs de controle over de website overnemen. De impact is aanzienlijk, vooral omdat Elementor een populaire plugin is die door veel websites wordt gebruikt. Een succesvolle exploitatie kan leiden tot data-exfiltratie, website defacement, en een compromittering van de gehele WordPress omgeving. Dit is vergelijkbaar met andere deserialisatie kwetsbaarheden waarbij de controle over de applicatie kan worden overgenomen.
CVE-2024-24934 werd publiekelijk bekendgemaakt op 2024-05-17. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar de beschikbaarheid van een proof-of-concept (POC) kan dit veranderen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). De CVSS score van 8.5 (HIGH) duidt op een significant risico.
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.88% (75% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van de Elementor Website Builder plugin naar versie 3.19.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegestane bestandsextensies die door de plugin worden verwerkt. Controleer de WordPress serverconfiguratie op onnodige permissies die de impact van een succesvolle exploitatie kunnen verminderen. Implementeer een Web Application Firewall (WAF) met regels die deserialisatie-aanvallen detecteren en blokkeren. Na de upgrade, controleer de WordPress logs op verdachte activiteiten gerelateerd aan deserialisatieprocessen.
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-24934 is a HIGH severity vulnerability in Elementor Website Builder allowing attackers to manipulate web input to access the file system. It affects versions up to 3.19.0.
Yes, if you are using Elementor Website Builder version 3.19.0 or earlier, you are vulnerable to this insecure deserialization flaw.
Upgrade Elementor Website Builder to version 3.19.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.