Platform
wordpress
Component
consulting-elementor-widgets
Opgelost in
1.3.1
CVE-2024-37092 beschrijft een Path Traversal kwetsbaarheid in de Consulting Elementor Widgets plugin voor WordPress. Deze kwetsbaarheid maakt Local File Inclusion (LFI) mogelijk, wat betekent dat een aanvaller mogelijk toegang kan krijgen tot bestanden op de server. De kwetsbaarheid treft versies van de plugin tot en met 1.3.0. Een patch is beschikbaar in versie 1.3.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de webserver te lezen, mits de aanvaller de juiste paden kan manipuleren. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals configuratiebestanden, database credentials, of zelfs broncode. In het ergste geval kan dit de aanvaller in staat stellen om de server te compromitteren en verdere acties uit te voeren. De impact is vergelijkbaar met andere LFI kwetsbaarheden, waarbij de toegang tot bestanden afhangt van de configuratie van de server en de rechten van de webserver-gebruiker.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De KEV score is momenteel niet bekend. Er zijn geen meldingen van actieve campagnes bekend op het moment van schrijven. De CVE is gepubliceerd op 2024-06-24.
WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
1.08% (78% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-37092 is het updaten van de Consulting Elementor Widgets plugin naar versie 1.3.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de plugin via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verdachte padmanipulatie te detecteren en te blokkeren. Controleer ook de bestandsrechten op de server om te zorgen dat de webserver-gebruiker geen onnodige toegang heeft tot gevoelige bestanden. Na de upgrade, controleer de serverlogs op ongebruikelijke activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare paden te benaderen.
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.0. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37092 is a Path Traversal vulnerability in Consulting Elementor Widgets allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Consulting Elementor Widgets version 1.3.0 or earlier, you are vulnerable to this path traversal attack.
Upgrade Consulting Elementor Widgets to version 1.3.1 or later to resolve this vulnerability. Consider temporary WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Check the StylemixThemes website and WordPress plugin repository for the latest advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.