Plataforma
wordpress
Componente
addons-for-elementor
Corrigido em
8.3.8
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin Elementor Addons by Livemesh para WordPress. Essa falha permite que atacantes autenticados, com permissões de colaborador ou superiores, incluam e executem arquivos arbitrários no servidor, comprometendo a segurança do site. As versões afetadas são aquelas anteriores ou iguais a 8.3.7. A correção foi disponibilizada em versões posteriores ao 8.3.7.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código PHP arbitrário no servidor WordPress. Isso pode levar à exfiltração de dados confidenciais, como credenciais de banco de dados, chaves de API e informações de usuários. Além disso, o atacante pode obter controle total sobre o servidor, permitindo a instalação de malware, a modificação de conteúdo do site e o lançamento de ataques contra outros sistemas na rede. A vulnerabilidade reside no uso inseguro do atributo 'style' em vários widgets do plugin, permitindo a inclusão de arquivos que não deveriam ser acessíveis.
Esta vulnerabilidade foi divulgada em 04 de julho de 2024. Não há evidências de exploração ativa em larga escala no momento, mas a facilidade de exploração e a popularidade do plugin Elementor Addons aumentam o risco. A ausência de um KEV listing indica que a probabilidade de exploração é considerada baixa a média. Não foram identificados Proof of Concepts (PoCs) públicos, mas a natureza da vulnerabilidade a torna um alvo potencial para pesquisadores de segurança e atacantes.
WordPress websites using Elementor Addons by Livemesh, particularly those with multiple contributors or users with elevated privileges, are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others. Legacy WordPress installations with outdated security practices are especially vulnerable.
• wordpress / composer / npm:
grep -r 'style=".*/wp-content/uploads/' /var/www/html/wp-content/plugins/elementor-addons-by-livemesh/• wordpress / composer / npm:
wp plugin list --status=inactive | grep elementor-addons-by-livemesh• wordpress / composer / npm:
curl -I http://your-wordpress-site.com/wp-content/plugins/elementor-addons-by-livemesh/style.php?style=/etc/passwddisclosure
Status do Exploit
EPSS
0.24% (percentil 47%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Elementor Addons by Livemesh para a versão mais recente (superior a 8.3.7). Se a atualização imediata não for possível, considere restringir o acesso ao diretório do plugin ou implementar regras de firewall (WAF) para bloquear solicitações suspeitas que tentem incluir arquivos arbitrários. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto da execução de código arbitrário. Após a atualização, confirme a correção verificando se os widgets do plugin não permitem mais a inclusão de arquivos externos.
Actualice el plugin Elementor Addons by Livemesh a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-2385 is a Local File Inclusion vulnerability in Elementor Addons by Livemesh for WordPress, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using Elementor Addons by Livemesh version 8.3.7 or earlier. Check your plugin version immediately.
Upgrade Elementor Addons by Livemesh to a version higher than 8.3.7. If immediate upgrade isn't possible, restrict file uploads and user permissions.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation makes it a high-priority risk. Monitor for updates.
Refer to the official Elementor Addons website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.