Platform
wordpress
Component
ultimate-bootstrap-elements-for-elementor
Opgelost in
1.4.5
CVE-2024-43140 beschrijft een Path Traversal kwetsbaarheid in de Ultimate Bootstrap Elements plugin voor WordPress, specifiek in versies tot en met 1.4.4. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, waardoor een aanvaller mogelijk toegang kan krijgen tot gevoelige bestanden op de server. De kwetsbaarheid is openbaar gemaakt op 13 augustus 2024 en kan worden verholpen door te upgraden naar versie 1.4.5.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om PHP-bestanden buiten de beoogde directory te includeren. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals configuratiebestanden, database credentials of zelfs broncode. In het ergste geval kan een aanvaller code uitvoeren op de server, wat resulteert in een volledige overname van de website. De impact is aanzienlijk, vooral omdat WordPress-websites vaak worden gebruikt voor het hosten van kritieke bedrijfsgegevens en applicaties.
De kwetsbaarheid is openbaar gemaakt op 13 augustus 2024. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar het is waarschijnlijk dat exploitatie zal plaatsvinden zodra er een proof-of-concept beschikbaar komt. De KEV status is momenteel onbekend. Het is belangrijk om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen.
Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.91% (76% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-43140 is het upgraden van de Ultimate Bootstrap Elements plugin naar versie 1.4.5 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de plugin directory via een web application firewall (WAF) of proxy server. Configureer de WAF om verzoeken met path traversal patronen (zoals '../') te blokkeren. Controleer ook de bestandsrechten van de plugin directory om ervoor te zorgen dat alleen de webserver-gebruiker toegang heeft. Na de upgrade, controleer de webserver logs op verdachte activiteiten.
Actualiza el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.4. Verifica que la versión actualizada sea segura y aplica las últimas actualizaciones de seguridad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43140 is a Path Traversal vulnerability affecting the Ultimate Bootstrap Elements for Elementor plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.4 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.5 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but proactive mitigation is still recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.