Plataforma
wordpress
Componente
ultimate-bootstrap-elements-for-elementor
Corrigido em
1.4.5
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Ultimate Bootstrap Elements for Elementor, permitindo a inclusão de arquivos locais (LFI). Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações sensíveis ou executando código malicioso. A vulnerabilidade afeta versões do plugin até 1.4.4 e foi corrigida na versão 1.4.5.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos arbitrários no servidor web. Isso pode levar à divulgação de informações confidenciais, como arquivos de configuração, chaves de API ou dados de usuários. Em cenários mais graves, um atacante pode até mesmo executar código malicioso no servidor, comprometendo a integridade e a disponibilidade do site WordPress. A ausência de validação adequada do caminho do arquivo permite que um invasor manipule a requisição para acessar arquivos fora do diretório pretendido.
A vulnerabilidade foi divulgada em 13 de agosto de 2024. Não há evidências públicas de exploração ativa em campanhas direcionadas, mas a disponibilidade de um Proof of Concept (PoC) aumenta o risco de exploração. A vulnerabilidade não está listada no CISA KEV (Known Exploited Vulnerabilities) até o momento.
Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.91% (percentil 76%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o plugin Ultimate Bootstrap Elements for Elementor para a versão 1.4.5 ou superior. Enquanto isso não for possível, implemente medidas de mitigação adicionais. Restrinja o acesso ao diretório do plugin através de permissões de arquivo adequadas no servidor. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Considere a implementação de um Web Application Firewall (WAF) para bloquear requisições maliciosas que tentam explorar a vulnerabilidade. Após a atualização, confirme a correção verificando se o acesso a arquivos sensíveis fora do diretório do plugin é bloqueado.
Actualiza el plugin Ultimate Bootstrap Elements for Elementor a la última versión disponible. La vulnerabilidad de Local File Inclusion (LFI) se ha corregido en versiones posteriores a la 1.4.4. Verifica que la versión actualizada sea segura y aplica las últimas actualizaciones de seguridad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-43140 is a Path Traversal vulnerability affecting the Ultimate Bootstrap Elements for Elementor plugin, allowing attackers to potentially include arbitrary files on the server.
Yes, if you are using Ultimate Bootstrap Elements for Elementor version 1.4.4 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade the Ultimate Bootstrap Elements for Elementor plugin to version 1.4.5 or later to resolve this vulnerability.
As of now, there are no confirmed reports of active exploitation, but proactive mitigation is still recommended.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.