Plataforma
wordpress
Componente
pdf-generator-addon-for-elementor-page-builder
Corrigido em
1.7.6
A vulnerabilidade CVE-2024-9935 é uma falha de Path Traversal identificada no PDF Generator Addon para Elementor Page Builder, um plugin para WordPress. Essa falha permite que atacantes não autenticados leiam arquivos arbitrários no servidor, comprometendo a confidencialidade de dados sensíveis. Versões do plugin até 1.7.5 são afetadas. A correção oficial está pendente, mas medidas de mitigação podem ser implementadas.
Um atacante explorando essa vulnerabilidade pode obter acesso não autorizado a arquivos no servidor web, potencialmente revelando informações confidenciais como chaves de API, senhas, dados de configuração e código-fonte. A leitura de arquivos de log pode fornecer informações sobre a infraestrutura do servidor e atividades do usuário. Em cenários mais graves, o atacante pode conseguir executar código malicioso se encontrar arquivos executáveis acessíveis. A exploração bem-sucedida pode resultar em comprometimento completo do servidor WordPress e perda de dados.
A vulnerabilidade foi divulgada em 16 de novembro de 2024. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (Path Traversal) a torna um alvo atraente para atacantes automatizados. A ausência de uma correção oficial aumenta o risco de exploração. A vulnerabilidade não está listada no KEV da CISA.
WordPress websites utilizing the PDF Generator Addon for Elementor Page Builder plugin, particularly those running versions prior to 1.7.5, are at significant risk. Shared hosting environments are especially vulnerable as they often have limited control over file permissions and server configurations. Websites with sensitive data stored on the server, such as database credentials or API keys, are at heightened risk of compromise.
• wordpress / composer / npm:
grep -r 'rtw_pgaepb_dwnld_pdf()' /var/www/html/wp-content/plugins/pdf-generator-for-elementor/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/pdf-generator-for-elementor/rtw_pgaepb_dwnld_pdf?file=/etc/passwd• wordpress / composer / npm:
wp plugin list --status=active | grep 'pdf-generator-for-elementor'disclosure
Status do Exploit
EPSS
93.62% (percentil 100%)
CISA SSVC
Vetor CVSS
Como a correção oficial ainda não foi lançada, a mitigação imediata envolve a implementação de medidas de segurança adicionais. Restrinja o acesso ao diretório de uploads do WordPress, impedindo que atacantes acessem arquivos fora do diretório esperado. Utilize um Web Application Firewall (WAF) para bloquear solicitações que contenham caracteres de path traversal (../). Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos. Considere desativar temporariamente o plugin até que uma correção seja disponibilizada.
Actualice el plugin PDF Generator Addon for Elementor Page Builder a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal que permite la descarga de archivos arbitrarios sin autenticación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-9935 is a vulnerability allowing unauthenticated attackers to read arbitrary files on a WordPress server using the PDF Generator Addon for Elementor Page Builder plugin, impacting versions up to 1.7.5.
You are affected if your WordPress site uses the PDF Generator Addon for Elementor Page Builder plugin in a version equal to or lower than 1.7.5.
Upgrade the PDF Generator Addon for Elementor Page Builder plugin to a version higher than 1.7.5. Consider a WAF rule as a temporary workaround if immediate upgrade is not possible.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high probability if unpatched.
Refer to the plugin developer's website or WordPress plugin repository for the official advisory and updated version.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.