Plataforma
wordpress
Componente
cowidgets-elementor-addons
Corrigido em
1.1.2
A vulnerabilidade CVE-2024-37419 é classificada como Path Traversal, encontrada no plugin Cowidgets – Elementor Addons. Essa falha permite que atacantes acessem arquivos fora do diretório pretendido, potencialmente expondo dados confidenciais do servidor. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.1.1 e foi corrigida na versão 1.1.2.
Um atacante explorando essa vulnerabilidade pode ler arquivos arbitrários no servidor web, incluindo arquivos de configuração, código-fonte e dados sensíveis. Isso pode levar à divulgação de informações confidenciais, como credenciais de banco de dados, chaves de API e informações pessoais de usuários. Em cenários mais graves, a exploração bem-sucedida pode permitir a execução remota de código, comprometendo a segurança do servidor WordPress inteiro. A facilidade de exploração, combinada com a ampla utilização do Elementor e seus plugins, torna essa vulnerabilidade particularmente preocupante.
A vulnerabilidade foi divulgada publicamente em 9 de julho de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração automatizada. A vulnerabilidade está sendo monitorada pela comunidade de segurança.
WordPress websites using Cowidgets – Elementor Addons are at risk, particularly those with default file permissions or those running older, unpatched versions of the plugin. Shared hosting environments where users have limited control over server configurations are also at increased risk.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/cowidgets-elementor-addons/• generic web:
curl -I 'http://example.com/wp-content/plugins/cowidgets-elementor-addons/../../../../etc/passwd' # Check for file disclosuredisclosure
Status do Exploit
EPSS
0.39% (percentil 60%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-37419 é atualizar o plugin Cowidgets – Elementor Addons para a versão 1.1.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório raiz do servidor web através de regras de firewall ou WAF. Monitore os logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado. Verifique se as permissões de arquivos e diretórios estão configuradas corretamente para evitar acesso não autorizado.
Actualice el plugin Cowidgets – Elementor Addons a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se ha corregido en versiones posteriores a la 1.1.1. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Cowidgets – Elementor Addons' para actualizarlo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37419 is a Path Traversal vulnerability affecting Cowidgets – Elementor Addons versions up to 1.1.1, allowing attackers to read arbitrary files on the server.
You are affected if you are using Cowidgets – Elementor Addons version 1.1.1 or earlier. Check your plugin version and update immediately.
Upgrade Cowidgets – Elementor Addons to version 1.1.2 or later. As a temporary workaround, restrict file access permissions and implement a WAF rule.
As of now, there are no confirmed active exploitation campaigns, but the vulnerability's nature suggests it may become a target.
Refer to the Cowidgets website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.