Platform
wordpress
Component
lastudio-element-kit
Opgelost in
1.3.9
CVE-2024-5349 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de LA-Studio Element Kit plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van de plugin tot en met 1.3.8.1. Een patch is beschikbaar en wordt sterk aangeraden.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een geauthenticeerde aanvaller, met minimaal Contributor-niveau toegang, kan PHP-code op de server uitvoeren. Dit stelt de aanvaller in staat om toegang te krijgen tot gevoelige data, de configuratie van de WordPress-site te wijzigen, of zelfs volledige controle over de server te verkrijgen. Het is mogelijk om via geüploade afbeeldingen of andere 'veilige' bestandstypes, code te includeren en uit te voeren. Dit is vergelijkbaar met eerdere LFI-exploits waarbij aanvallers de serverconfiguratie konden manipuleren om toegang te krijgen tot gevoelige informatie.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2024-07-02. Er zijn momenteel geen bekende actieve campagnes gericht op deze specifieke kwetsbaarheid, maar de LFI-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. Het is waarschijnlijk dat er binnenkort Proof-of-Concept (PoC) exploits beschikbaar komen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven).
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'disclosure
Exploit Status
EPSS
0.49% (65% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de LA-Studio Element Kit plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de 'mapstyle' parameter. Het implementeren van een Web Application Firewall (WAF) met regels die het includeren van willekeurige bestanden blokkeren, kan ook helpen. Controleer de WordPress-configuratie op onnodige permissies en beperk de rechten van gebruikers tot het minimum dat nodig is. Na de upgrade, verifieer de fix door te proberen de 'mapstyle' parameter te manipuleren en te controleren of er geen bestanden worden geopend.
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-5349 is a Local File Inclusion vulnerability in the LA-Studio Element Kit for Elementor WordPress plugin, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using LA-Studio Element Kit for Elementor version 1.3.8.1 or earlier.
Upgrade to the latest version of the LA-Studio Element Kit for Elementor plugin as soon as a patch is released. Until then, implement mitigation steps like restricting file uploads and input validation.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Check the LA-Studio Element Kit website and WordPress plugin repository for updates and advisories related to CVE-2024-5349.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.