Platform
wordpress
Component
pdf-generator-addon-for-elementor-page-builder
Opgelost in
1.7.6
CVE-2024-9935 beschrijft een Arbitrary File Access kwetsbaarheid in de PDF Generator Addon voor Elementor Page Builder plugin voor WordPress. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treft versies van de plugin tot en met 1.7.5. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om de inhoud van willekeurige bestanden op de server te lezen. Dit omvat potentieel configuratiebestanden, database dumps, of andere gevoelige data die op de server zijn opgeslagen. De impact kan variëren afhankelijk van de data die toegankelijk is, maar kan leiden tot data-inbreuk, compromittering van de server, en mogelijk verdere toegang tot het netwerk. Het is vergelijkbaar met andere path traversal kwetsbaarheden waarbij een aanvaller de bestandsstructuur kan omzeilen om toegang te krijgen tot niet-bestemde bestanden.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen melding van actieve exploitatie op KEV op het moment van schrijven. De CVSS score van 7.5 (HIGH) duidt op een significant risico. Er zijn geen publieke Proof-of-Concept exploits bekend, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt.
WordPress websites utilizing the PDF Generator Addon for Elementor Page Builder plugin, particularly those running versions prior to 1.7.5, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. Websites with sensitive data stored on the server, such as database credentials or API keys, are at heightened risk of compromise.
• wordpress / composer / npm:
grep -r 'rtw_pgaepb_dwnld_pdf()' /var/www/html/wp-content/plugins/pdf-generator-for-elementor/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-generator-for-elementor/rtw_pgaepb_dwnld_pdf?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=active | grep 'pdf-generator-for-elementor'disclosure
Exploit Status
EPSS
93.62% (100% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van de PDF Generator Addon voor Elementor Page Builder plugin naar een beveiligde versie. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de server via een Web Application Firewall (WAF) of proxy server. Configureer de WAF om verzoeken met path traversal patronen te blokkeren (bijvoorbeeld ../). Controleer ook de permissies van bestanden en directories op de server om te zorgen dat ze niet leesbaar zijn voor de webserver gebruiker. Na de upgrade, controleer de server logs op verdachte activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen de kwetsbare endpoint opnieuw te benaderen.
Actualice el plugin PDF Generator Addon for Elementor Page Builder a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal que permite la descarga de archivos arbitrarios sin autenticación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-9935 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server using the PDF Generator Addon for Elementor Page Builder plugin, impacting versions up to 1.7.5.
You are affected if your WordPress site uses the PDF Generator Addon for Elementor Page Builder plugin in a version equal to or lower than 1.7.5.
Upgrade the PDF Generator Addon for Elementor Page Builder plugin to a version higher than 1.7.5. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high probability if unpatched.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and updated version.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.