Plataforma
wordpress
Componente
ultimate-bootstrap-elements-for-elementor
Corrigido em
1.4.3
A vulnerabilidade CVE-2024-37462 é uma falha de Path Traversal descoberta no plugin Ultimate Bootstrap Elements for Elementor. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin anteriores ou iguais a 1.4.2. A correção foi disponibilizada na versão 1.4.3.
Um atacante explorando essa vulnerabilidade pode ler arquivos de configuração, código-fonte ou outros dados sensíveis armazenados no servidor web. Isso pode levar à divulgação de credenciais, chaves de API, informações de clientes ou outros dados confidenciais. A exploração bem-sucedida pode permitir o acesso não autorizado a recursos do servidor e a execução de código malicioso, dependendo das permissões do usuário web. A falha de Path Traversal é frequentemente explorada em conjunto com outras vulnerabilidades para escalar privilégios e comprometer a segurança do sistema.
A vulnerabilidade foi divulgada em 9 de julho de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração.
WordPress websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.2) and those with weak file permission configurations, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I 'http://example.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd' # Check for sensitive file accessdisclosure
Status do Exploit
EPSS
1.66% (percentil 82%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Ultimate Bootstrap Elements for Elementor para a versão 1.4.3 ou superior. Se a atualização imediata não for possível, implemente restrições de acesso ao diretório do plugin através do servidor web (por exemplo, configurando permissões de arquivo adequadas). Monitore os logs do servidor web em busca de tentativas de acesso a arquivos fora do diretório esperado do plugin. Considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentam explorar a vulnerabilidade.
Actualice el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.2. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Ultimate Bootstrap Elements for Elementor' para actualizarlo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-37462 is a Path Traversal vulnerability affecting Ultimate Bootstrap Elements for Elementor plugin versions up to 1.4.2, allowing attackers to access arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.2 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.3 or later to resolve the vulnerability. Implement file access restrictions as a temporary workaround.
While no active exploitation has been confirmed, the ease of exploitation for Path Traversal vulnerabilities suggests that exploitation is possible.
Refer to the official G5Theme website and WordPress plugin repository for the latest advisory and update information regarding CVE-2024-37462.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.