Plataforma
wordpress
Componente
jet-elements
Corrigido em
2.6.21
A vulnerabilidade CVE-2024-7145 é uma falha de Inclusão de Arquivo Local (LFI) descoberta no plugin JetElements para WordPress. Essa falha permite que atacantes autenticados, com permissões de Contributor ou superiores, incluam e executem arquivos arbitrários no servidor, potencialmente levando à execução de código malicioso. As versões afetadas são aquelas anteriores ou iguais a 2.6.20. A correção está disponível em versões mais recentes do plugin.
A exploração bem-sucedida da vulnerabilidade CVE-2024-7145 pode ter um impacto significativo na segurança de um site WordPress. Um atacante pode usar essa falha para executar código PHP arbitrário no servidor, permitindo o acesso não autorizado a dados confidenciais, a modificação de arquivos do sistema e até mesmo o controle total do servidor. Em cenários onde imagens ou outros tipos de arquivos considerados “seguros” podem ser carregados, um atacante pode manipular esses arquivos para incluir código malicioso. A capacidade de executar código arbitrário permite a exfiltração de dados sensíveis, a instalação de backdoors e a realização de ataques de negação de serviço (DoS).
A vulnerabilidade CVE-2024-7145 foi divulgada em 16 de agosto de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um proof-of-concept (PoC) público pode aumentar o risco de exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis atividades maliciosas relacionadas a essa vulnerabilidade.
WordPress websites using the JetElements plugin, particularly those with multiple users having Contributor-level access or higher, are at risk. Shared hosting environments where users have limited control over file permissions are also particularly vulnerable. Sites using older, unpatched versions of the plugin are most susceptible to exploitation.
• wordpress / composer / npm:
grep -r 'progress_type' /var/www/html/wp-content/plugins/jet-elements/• wordpress / composer / npm:
wp plugin list --status=all | grep jet-elements• wordpress / composer / npm:
find /var/www/html/wp-content/uploads/ -type f -name '*.php'disclosure
Status do Exploit
EPSS
0.57% (percentil 69%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-7145 é atualizar o plugin JetElements para a versão mais recente, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais. Restrinja o acesso ao diretório de uploads do WordPress para impedir que atacantes carreguem arquivos maliciosos. Implemente regras de firewall (WAF) para bloquear solicitações que tentem incluir arquivos não autorizados. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos sensíveis ou execução de código não autorizado. Após a atualização, verifique se o plugin está funcionando corretamente e se não há conflitos com outros plugins ou temas.
Actualice el plugin JetElements a la última versión disponible. Esto solucionará la vulnerabilidad de inclusión de archivos locales.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-7145 is a Local File Inclusion vulnerability in the JetElements WordPress plugin, allowing authenticated users to execute arbitrary PHP code. It affects versions up to 2.6.20 and poses a significant security risk.
You are affected if your WordPress site uses the JetElements plugin and is running version 2.6.20 or earlier. Check your plugin version and upgrade immediately if necessary.
Upgrade the JetElements plugin to the latest available version. If upgrading is not possible, implement temporary workarounds like restricting file upload permissions and WAF rules.
There is currently no confirmed active exploitation of CVE-2024-7145, but the availability of a proof-of-concept makes it a potential target.
Refer to the official JetElements plugin website or their support channels for the latest advisory and updates regarding CVE-2024-7145.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.