Plataforma
wordpress
Componente
woo-products-widgets-for-elementor
Corrigido em
2.0.1
Uma vulnerabilidade de Path Traversal foi descoberta no plugin Woo Products Widgets For Elementor, permitindo a Inclusão de Arquivo Local (LFI) PHP. Essa falha permite que um atacante inclua arquivos arbitrários no servidor, potencialmente expondo informações confidenciais. A vulnerabilidade afeta versões do plugin até 2.0.0 e foi corrigida na versão 2.0.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante inclua arquivos PHP arbitrários no servidor web. Isso pode resultar na leitura de arquivos de configuração, código-fonte ou outros dados sensíveis armazenados no sistema de arquivos do servidor. Em cenários mais graves, um atacante pode conseguir executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site WordPress. A inclusão de arquivos de configuração pode revelar credenciais de banco de dados ou chaves de API, ampliando o potencial de ataque.
Esta vulnerabilidade foi divulgada em 19 de agosto de 2024. Não há informações disponíveis sobre exploração ativa em campanhas. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de uma vulnerabilidade de Path Traversal com potencial para LFI sempre representa um risco significativo, especialmente em ambientes de produção.
WordPress websites utilizing the Woo Products Widgets For Elementor plugin, particularly those running versions prior to 2.0.1, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/woo-products-widgets-for-elementor/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/woo-products-widgets-for-elementor/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Status do Exploit
EPSS
1.18% (percentil 79%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o plugin Woo Products Widgets For Elementor para a versão 2.0.1 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao diretório do plugin através de configurações do servidor web (por exemplo, .htaccess). Implementar regras de firewall de aplicação web (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos.
Actualice el plugin 'Woo Products Widgets For Elementor' a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 2.0.0. Para actualizar, vaya al panel de administración de WordPress, sección 'Plugins' y busque 'Woo Products Widgets For Elementor' para actualizarlo.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a inclusão de arquivos arbitrários no servidor através do plugin Woo Products Widgets For Elementor, afetando versões até 2.0.0.
Sim, se você estiver utilizando o plugin Woo Products Widgets For Elementor em versões anteriores à 2.0.1, você está vulnerável.
Atualize o plugin para a versão 2.0.1 ou superior. Se a atualização não for possível, implemente medidas de mitigação como restrição de acesso e WAF.
Até o momento, não há informações sobre exploração ativa, mas a vulnerabilidade representa um risco significativo.
Verifique o site oficial do plugin ou o repositório do WordPress para obter o advisory e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.