Plataforma
wordpress
Componente
lastudio-element-kit
Corrigido em
1.3.9
A vulnerabilidade CVE-2024-5349 é uma falha de Inclusão de Arquivo Local (LFI) descoberta no plugin LA-Studio Element Kit para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contributor ou superiores, incluam e executem arquivos arbitrários no servidor, comprometendo a segurança da aplicação. As versões afetadas são aquelas anteriores ou iguais a 1.3.8.1. A correção oficial foi publicada em 2024-07-02.
A exploração bem-sucedida da vulnerabilidade CVE-2024-5349 pode ter um impacto significativo na segurança de sites WordPress que utilizam o plugin LA-Studio Element Kit. Um atacante autenticado, mesmo com permissões limitadas de Contributor, pode incluir e executar código PHP arbitrário no servidor. Isso pode levar à obtenção de informações confidenciais, como credenciais de banco de dados ou chaves de API, permitindo o acesso não autorizado a dados sensíveis. Além disso, o atacante pode modificar o comportamento do site, injetar código malicioso ou até mesmo assumir o controle completo do servidor, dependendo das permissões e configurações existentes. A possibilidade de executar código PHP arbitrário torna esta vulnerabilidade particularmente perigosa, similar a outras falhas de LFI exploradas em larga escala.
A vulnerabilidade CVE-2024-5349 foi divulgada em 2024-07-02. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV (CISA Known Exploited Vulnerabilities) ou sobre a sua pontuação EPSS (Exploit Prediction Scoring System). Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (LFI com execução de código) a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
WordPress websites using the LA-Studio Element Kit for Elementor plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file uploads and execution are especially vulnerable, as attackers may be able to leverage this vulnerability to compromise other sites on the same server.
• wordpress / composer / npm:
grep -r 'map_style' /var/www/html/wp-content/plugins/la-studio-element-kit-for-elementor/• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/la-studio-element-kit-for-elementor/map_style.php• wordpress / composer / npm:
wp plugin list --status=all | grep 'la-studio-element-kit-for-elementor'disclosure
Status do Exploit
EPSS
0.49% (percentil 65%)
CISA SSVC
Vetor CVSS
A mitigação imediata para CVE-2024-5349 envolve a atualização do plugin LA-Studio Element Kit para a versão mais recente disponível (superior a 1.3.8.1). Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere desativar temporariamente o plugin para reduzir a superfície de ataque. Como medida adicional, implemente regras de firewall de aplicação web (WAF) para bloquear solicitações que contenham o parâmetro 'mapstyle' com entradas suspeitas. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ou inclusão de arquivos inesperados. Após a atualização, confirme a correção verificando se o parâmetro 'mapstyle' não permite mais a inclusão de arquivos arbitrários.
Actualice el plugin LA-Studio Element Kit for Elementor a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-5349 is a Local File Inclusion vulnerability in the LA-Studio Element Kit for Elementor WordPress plugin, allowing authenticated attackers to execute arbitrary PHP code.
You are affected if you are using LA-Studio Element Kit for Elementor version 1.3.8.1 or earlier.
Upgrade to the latest version of the LA-Studio Element Kit for Elementor plugin as soon as a patch is released. Until then, implement mitigation steps like restricting file uploads and input validation.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Check the LA-Studio Element Kit website and WordPress plugin repository for updates and advisories related to CVE-2024-5349.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.