De Livemesh Addons for Elementor plugin voor WordPress is kwetsbaar voor Local File Inclusion in alle versies tot en met 9.0. Dit komt door onvoldoende sanitatie van de template naam parameter in de `lae_get_template_part()` functie, die een ontoereikende `str_replace()` aanpak gebruikt die omzeild kan worden met behulp van recursieve directory traversal patronen. Hierdoor kunnen geauthenticeerde aanvallers, met Contributor-level toegang en hoger, willekeurige bestanden includeren en uitvoeren.

Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om willekeurige bestanden op de server te lezen en potentieel uit te voeren. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals configuratiebestanden, database credentials of broncode. In het ergste geval kan de aanvaller volledige controle over de server verkrijgen, wat resulteert in dataverlies, verstoring van de dienstverlening en reputatieschade. De impact is vergelijkbaar met andere Directory Traversal kwetsbaarheden waarbij ongeautoriseerde toegang tot systeembestanden mogelijk is.

1. Gereserveerd2026-01-29
2. Gepubliceerd2026-04-16
3. Gewijzigd2026-04-22
4. EPSS bijgewerkt2026-04-23

De primaire mitigatie is het upgraden van de Livemesh Addons for Elementor plugin naar de nieuwste versie, die de kwetsbaarheid verhelpt. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de widget template parameter. Dit kan worden bereikt door de sanitatie van de input te verbeteren, bijvoorbeeld door een whitelist van toegestane bestanden te implementeren. Controleer ook de WordPress serverconfiguratie op onnodige permissies die de impact van de kwetsbaarheid kunnen vergroten. Na de upgrade, controleer de serverlogs op verdachte activiteiten gerelateerd aan de plugin.

Actieve installaties

40KBekend

Plugin-beoordeling