Plataforma
wordpress
Componente
addon-elements-for-elementor-page-builder
Corrigido em
1.12.13
A vulnerabilidade CVE-2024-1358 é um problema de Directory Traversal descoberto no plugin Elementor Addon Elements para WordPress. Um atacante autenticado, com permissões de contribuinte ou superiores, pode explorar essa falha para incluir o conteúdo de arquivos PHP arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin até e incluindo 1.12.12. A correção foi publicada e a atualização para a versão mais recente é recomendada.
A exploração bem-sucedida da vulnerabilidade CVE-2024-1358 pode permitir que um atacante obtenha acesso a informações sensíveis armazenadas nos arquivos PHP do servidor. Isso pode incluir credenciais de banco de dados, chaves de API, configurações de aplicativos e outros dados confidenciais. Em cenários mais graves, um atacante pode até mesmo executar código arbitrário no servidor, comprometendo a integridade e a disponibilidade do site WordPress. A possibilidade de inclusão de arquivos PHP arbitrários torna essa vulnerabilidade particularmente perigosa, similar a outras falhas de Directory Traversal que levaram a comprometimento de sistemas inteiros.
A vulnerabilidade foi publicada em 13 de março de 2024. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade sugere que a exploração é relativamente simples para um atacante com conhecimento técnico. É importante monitorar a situação e aplicar as medidas de mitigação o mais rápido possível.
WordPress sites using the Elementor Addon Elements plugin, particularly those with contributor-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions are also at increased risk.
• wordpress / composer / npm:
grep -r "render function" /var/www/html/wp-content/plugins/elementor-addon-elements/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/elementor-addon-elements/some_file.php | grep "PHP/" # Check for PHP file exposuredisclosure
Status do Exploit
EPSS
2.61% (percentil 86%)
Vetor CVSS
A mitigação primária para CVE-2024-1358 é atualizar o plugin Elementor Addon Elements para a versão corrigida. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere restringir o acesso ao diretório do plugin através de permissões do servidor. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que tentam acessar arquivos fora do diretório esperado também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin Elementor Addon Elements a la última versión disponible. La vulnerabilidad de recorrido de directorios permite la inclusión de archivos PHP arbitrarios, lo que podría exponer información sensible. La actualización corrige esta vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-1358 is a Directory Traversal vulnerability in the Elementor Addon Elements WordPress plugin, allowing authenticated attackers to include arbitrary PHP files.
You are affected if you are using Elementor Addon Elements version 1.12.12 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Elementor Addon Elements plugin to the latest version, which contains a patch for this vulnerability. If immediate upgrade is not possible, restrict file access permissions.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.