Platform
wordpress
Component
woo-products-widgets-for-elementor
Opgelost in
2.0.1
CVE-2024-43271 beschrijft een 'Path Traversal' kwetsbaarheid in de Woo Products Widgets For Elementor plugin voor WordPress. Deze kwetsbaarheid maakt PHP Local File Inclusion mogelijk, waardoor een aanvaller potentieel gevoelige bestanden op de server kan benaderen. De kwetsbaarheid treft versies van de plugin tot en met 2.0.0. Een patch is beschikbaar in versie 2.0.1.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige PHP-bestanden op de server te includeren. Dit kan leiden tot het uitlezen van configuratiebestanden, broncode of andere gevoelige informatie. In het ergste geval kan een aanvaller code uitvoeren op de server, wat resulteert in volledige controle over de website en de onderliggende infrastructuur. De impact is aanzienlijk, aangezien de kwetsbaarheid direct leidt tot potentieel ongeautoriseerde toegang en controle over de server.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 2024-08-19. Er zijn geen bekende KEV-listings op dit moment.
WordPress websites utilizing the Woo Products Widgets For Elementor plugin, particularly those running versions prior to 2.0.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woo-products-widgets-for-elementor/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/woo-products-widgets-for-elementor/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Exploit Status
EPSS
1.18% (79% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de Woo Products Widgets For Elementor plugin naar versie 2.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het tijdelijk beperken van de toegang tot de plugin via een Web Application Firewall (WAF) of reverse proxy. Configureer de WAF om verzoeken met potentieel schadelijke padnamen te blokkeren. Controleer ook de WordPress-configuratie op onnodige permissies en beperk de rechten van de webservergebruiker.
Actualice el plugin 'Woo Products Widgets For Elementor' a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.0.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Woo Products Widgets For Elementor' para actualizarlo.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-43271 is a Path Traversal vulnerability in the Woo Products Widgets For Elementor plugin for WordPress, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Woo Products Widgets For Elementor version 2.0.0 or earlier, you are affected by this vulnerability.
Upgrade the Woo Products Widgets For Elementor plugin to version 2.0.1 or later to remediate the vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no indication of active exploitation campaigns targeting this vulnerability, but it's crucial to apply the patch promptly.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.