Platform
wordpress
Component
jet-elements
Opgelost in
2.6.21
CVE-2024-7145 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de JetElements plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden op de server te includeren en uit te voeren, wat kan leiden tot code-uitvoering. De kwetsbaarheid treft versies van JetElements tot en met 2.6.20. Een patch is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een geauthenticeerde aanvaller, zelfs met een beperkte rol zoals 'Contributor', kan PHP-code uitvoeren op de server. Dit kan gebruikt worden om toegang tot gevoelige data te verkrijgen, configuratiebestanden te wijzigen, of zelfs volledige controle over de WordPress-installatie te verwerven. De mogelijkheid om willekeurige bestanden te includeren, opent de deur naar het omzeilen van beveiligingsmaatregelen en het uitvoeren van kwaadaardige acties. Dit is vergelijkbaar met eerdere LFI kwetsbaarheden waarbij aanvallers toegang kregen tot systeembestanden en de server konden compromitteren.
Deze kwetsbaarheid is openbaar bekend en er is een redelijke kans dat deze wordt misbruikt. Er zijn momenteel geen bekende actieve campagnes die specifiek deze kwetsbaarheid uitbuiten, maar de lage drempel voor exploitatie (geauthenticeerde toegang) maakt het een aantrekkelijk doelwit. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. De publicatie datum is 2024-08-16.
WordPress websites using the JetElements plugin, particularly those with multiple users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable. Sites using older, unpatched versions of the plugin are most susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'progress_type' /var/www/html/wp-content/plugins/jet-elements/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-elements• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -type f -name '*.php'disclosure
Exploit Status
EPSS
0.57% (69% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de JetElements plugin naar een versie die de kwetsbaarheid verhelpt. Controleer de officiële website van JetElements voor de meest recente versie. Als een directe upgrade problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie. Het is ook aan te raden om de WordPress-installatie te beveiligen met een Web Application Firewall (WAF) die LFI-pogingen kan detecteren en blokkeren. Controleer de toegang tot de 'progress_type' parameter en beperk deze indien mogelijk. Monitor de WordPress-logbestanden op verdachte activiteit, zoals pogingen om ongebruikelijke bestanden te includeren.
Actualice el plugin JetElements a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-7145 is a Local File Inclusion vulnerability in the JetElements WordPress plugin, allowing authenticated users to execute arbitrary PHP code. It affects versions up to 2.6.20 and poses a significant security risk.
You are affected if your WordPress site uses the JetElements plugin and is running version 2.6.20 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the JetElements plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
There is currently no confirmed active exploitation of CVE-2024-7145, but the availability of a proof-of-concept makes it a potential target.
Refer to the official JetElements plugin website or their support channels for the latest advisory and updates regarding CVE-2024-7145.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.