Platform
wordpress
Component
cowidgets-elementor-addons
Opgelost in
1.1.2
CVE-2024-37419 beschrijft een Path Traversal kwetsbaarheid in de Cowidgets – Elementor Addons plugin voor WordPress. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden buiten de toegestane directory te benaderen, wat kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van de plugin tot en met 1.1.1. Een patch is beschikbaar in versie 1.1.2.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben voor WordPress websites die Cowidgets – Elementor Addons gebruiken. Een aanvaller kan potentieel gevoelige bestanden op de server benaderen, zoals configuratiebestanden, database credentials of andere kritieke data. Dit kan leiden tot data-exfiltratie, website defacement, of zelfs volledige controle over de server. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij de aanvaller de directory structuur kan navigeren om toegang te krijgen tot ongeautoriseerde bronnen. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid.
Op dit moment is er geen publieke exploitatie van CVE-2024-37419 bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de CISA KEV catalogus is nog niet bijgewerkt. Er zijn geen openbare Proof-of-Concept (PoC) exploits beschikbaar. De kans op exploitatie wordt als gemiddeld ingeschat, gezien de relatief eenvoudige aard van Path Traversal kwetsbaarheden.
WordPress websites using Cowidgets – Elementor Addons are at risk, particularly those with default file permissions or those running older, unpatched versions of the plugin. Shared hosting environments where users have limited control over server configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cowidgets-elementor-addons/• generic web:
curl -I 'http://example.com/wp-content/plugins/cowidgets-elementor-addons/../../../../etc/passwd' # Check for file disclosuredisclosure
Exploit Status
EPSS
0.39% (60% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-37419 is het updaten van de Cowidgets – Elementor Addons plugin naar versie 1.1.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de webserver gebruiker of het implementeren van een Web Application Firewall (WAF) met regels die pogingen tot path traversal detecteren en blokkeren. Controleer ook de WordPress configuratie op onnodige directory listing functionaliteit. Na de upgrade, controleer de server logs op verdachte activiteiten die mogelijk verband houden met pogingen tot exploitatie.
Actualice el plugin Cowidgets – Elementor Addons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 1.1.1. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Cowidgets – Elementor Addons' para actualizarlo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-37419 is a Path Traversal vulnerability affecting Cowidgets – Elementor Addons versions up to 1.1.1, allowing attackers to read arbitrary files on the server.
You are affected if you are using Cowidgets – Elementor Addons version 1.1.1 or earlier. Check your plugin version and update immediately.
Upgrade Cowidgets – Elementor Addons to version 1.1.2 or later. As a temporary workaround, restrict file access permissions and implement a WAF rule.
As of now, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests it may become a target.
Refer to the Cowidgets website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.