Plataforma
wordpress
Componente
consulting-elementor-widgets
Corrigido em
1.3.1
A vulnerabilidade CVE-2024-37092 é uma falha de Path Traversal descoberta no plugin Consulting Elementor Widgets. Essa falha permite a inclusão de arquivos PHP local (LFI), possibilitando a execução remota de código em servidores WordPress vulneráveis. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.3.0, sendo corrigida na versão 1.3.1.
Um atacante pode explorar essa vulnerabilidade para ler arquivos arbitrários no servidor, potencialmente expondo informações confidenciais, como arquivos de configuração, chaves de API ou até mesmo código-fonte do aplicativo. A inclusão de arquivos PHP local permite a execução de código malicioso no contexto do servidor web, comprometendo a integridade e a confidencialidade do sistema. Em cenários mais graves, um atacante poderia obter acesso total ao servidor, permitindo a instalação de malware, roubo de dados ou interrupção do serviço. A exploração bem-sucedida depende da capacidade do atacante de manipular o caminho do arquivo para incluir um arquivo PHP no servidor.
A vulnerabilidade foi publicada em 2024-06-24. Não há informações disponíveis sobre a inclusão em KEV ou um EPSS score. Atualmente, não há um Proof of Concept (PoC) publicamente disponível, mas a natureza da vulnerabilidade (Path Traversal) a torna passível de exploração por atacantes com conhecimento técnico. É importante monitorar a situação e aplicar as correções o mais rápido possível.
WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.08% (percentil 78%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Consulting Elementor Widgets para a versão 1.3.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório do plugin através de permissões de arquivo e diretório. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de inclusão de arquivos maliciosos também pode ajudar. Monitore os logs do servidor web em busca de padrões suspeitos, como solicitações para arquivos PHP fora do diretório esperado.
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.0. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37092 is a Path Traversal vulnerability in Consulting Elementor Widgets allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Consulting Elementor Widgets version 1.3.0 or earlier, you are vulnerable to this path traversal attack.
Upgrade Consulting Elementor Widgets to version 1.3.1 or later to resolve this vulnerability. Consider temporary WAF rules if immediate upgrade is not possible.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Check the StylemixThemes website and WordPress plugin repository for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.