Plataforma
wordpress
Componente
bdthemes-element-pack
Corrigido em
7.19.3
A vulnerabilidade CVE-2024-33568 é uma falha de Deserialização Insegura identificada no plugin Element Pack Pro para WordPress. Essa falha permite a um atacante realizar Traversal de Caminho e Injeção de Objeto, potencialmente levando ao comprometimento do sistema. Versões do Element Pack Pro anteriores à 7.19.3 são afetadas. A correção foi disponibilizada na versão 7.19.3.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante ler arquivos arbitrários no servidor, potencialmente expondo informações confidenciais, como arquivos de configuração, chaves de API ou dados de usuários. Além disso, a Injeção de Objeto pode permitir a execução de código arbitrário no servidor, resultando em controle total do sistema. Um atacante poderia, por exemplo, ler o conteúdo de arquivos fora do diretório esperado, ou até mesmo injetar código malicioso para obter acesso privilegiado. A gravidade da vulnerabilidade reside na facilidade de exploração e no potencial impacto na confidencialidade, integridade e disponibilidade do sistema WordPress.
A vulnerabilidade foi divulgada em 2024-06-04. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas no momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, tornando a atualização para a versão corrigida ainda mais urgente. Verifique regularmente as fontes de inteligência de ameaças para obter atualizações sobre a exploração desta vulnerabilidade.
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
Status do Exploit
EPSS
0.74% (percentil 73%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-33568 é atualizar o Element Pack Pro para a versão 7.19.3 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desativar temporariamente o plugin ou implementar regras de firewall de aplicação web (WAF) para bloquear tentativas de Traversal de Caminho. Monitore os logs do servidor WordPress em busca de atividades suspeitas, como solicitações para arquivos fora do diretório esperado. Implementar uma política de segurança que restrinja o acesso a arquivos sensíveis também pode ajudar a reduzir o impacto da vulnerabilidade.
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-33568 is a HIGH severity vulnerability in BdThemes Element Pack Pro versions up to 7.19.3, allowing Path Traversal and Object Injection through insecure deserialization.
If you are using Element Pack Pro versions 7.19.3 or earlier, you are potentially affected by this vulnerability.
Upgrade Element Pack Pro to version 7.19.3 or later to resolve this vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
While no active exploitation has been confirmed, the vulnerability's nature suggests a potential for exploitation.
Refer to the BdThemes website and WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.