Plataforma
wordpress
Componente
elementor
Corrigido em
3.19.1
A vulnerabilidade CVE-2024-24934 é uma falha de Deserialização Insegura identificada no Elementor Website Builder. Essa falha permite que um atacante manipule a entrada web para realizar chamadas no sistema de arquivos, resultando em acesso não autorizado e potencial comprometimento do site. Versões afetadas incluem aquelas anteriores ou iguais a 3.19.0. A correção foi disponibilizada na versão 3.19.1.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado ao sistema de arquivos do servidor web. Isso pode levar à leitura de arquivos confidenciais, como informações de configuração do banco de dados, chaves de API ou até mesmo código-fonte do site. Em cenários mais graves, o atacante pode conseguir executar código arbitrário no servidor, comprometendo completamente o site e seus dados. A manipulação da entrada web para acessar o sistema de arquivos é um padrão de ataque comum, e a ausência de validação adequada da entrada no Elementor Website Builder torna essa vulnerabilidade particularmente perigosa.
A vulnerabilidade foi divulgada em 2024-05-17. A pontuação de severidade CVSS de 8.5 (HIGH) indica um risco significativo. Não há informações disponíveis sobre a inclusão da vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração. É crucial aplicar a correção o mais rápido possível.
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.88% (percentil 75%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-24934 é a atualização imediata para a versão 3.19.1 do Elementor Website Builder. Se a atualização imediata não for possível devido a conflitos de compatibilidade ou outros problemas, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de uploads do WordPress e implementar regras de firewall (WAF) para bloquear tentativas de manipulação de entrada web. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos sensíveis ou execução de comandos não autorizados. A aplicação de um firewall de aplicação web (WAF) com regras específicas para detectar e bloquear ataques de deserialização insegura pode ajudar a mitigar o risco.
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-24934 is a HIGH severity vulnerability in Elementor Website Builder allowing attackers to manipulate web input to access the file system. It affects versions up to 3.19.0.
Yes, if you are using Elementor Website Builder version 3.19.0 or earlier, you are vulnerable to this insecure deserialization flaw.
Upgrade Elementor Website Builder to version 3.19.1 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the official Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.