Platform
wordpress
Component
bdthemes-element-pack
Opgelost in
7.19.3
CVE-2024-33568 beschrijft een Insecure Deserialization kwetsbaarheid in BdThemes Element Pack Pro, een WordPress plugin. Deze kwetsbaarheid maakt Path Traversal en Object Injectie mogelijk, waardoor een aanvaller potentieel gevoelige data kan benaderen of de server kan compromitteren. De kwetsbaarheid treft versies van Element Pack Pro tot en met 7.19.3. Een patch is beschikbaar in versie 7.19.3.
De Insecure Deserialization kwetsbaarheid in Element Pack Pro stelt een aanvaller in staat om via kwaadaardige data, die wordt gedeïnserialiseerd, de bestandsstructuur van de server te navigeren (Path Traversal). Dit kan leiden tot het lezen van gevoelige configuratiebestanden, broncode of andere kritieke data. Object Injectie maakt het mogelijk om willekeurige code uit te voeren, wat de controle over de WordPress installatie kan overnemen. Een succesvolle exploitatie kan resulteren in data-exfiltratie, wijziging van website content, of zelfs volledige servercompromittering. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden die in WordPress plugins zijn ontdekt, waarbij de mogelijkheid bestaat om toegang te krijgen tot de root directory van de webserver.
CVE-2024-33568 werd publiekelijk bekendgemaakt op 2024-06-04. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. Er zijn geen publieke Proof-of-Concept (PoC) exploits beschikbaar, maar de aard van de kwetsbaarheid maakt het waarschijnlijk dat deze in de toekomst zullen verschijnen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
Exploit Status
EPSS
0.74% (73% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-33568 is het updaten van Element Pack Pro naar versie 7.19.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegestane bestandsextensies die door de plugin worden verwerkt. Implementeer een Web Application Firewall (WAF) met regels die kwaadaardige deserialisatiepogingen detecteren en blokkeren. Controleer de WordPress logs op verdachte patronen die wijzen op pogingen tot Path Traversal of Object Injectie. Na de upgrade, controleer de WordPress logs op ongebruikelijke activiteiten en verifieer dat de plugin correct functioneert.
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-33568 is a HIGH severity vulnerability in BdThemes Element Pack Pro versions up to 7.19.3, allowing Path Traversal and Object Injection through insecure deserialization.
If you are using Element Pack Pro versions 7.19.3 or earlier, you are potentially affected by this vulnerability.
Upgrade Element Pack Pro to version 7.19.3 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the BdThemes website and WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.