平台
wordpress
组件
addon-elements-for-elementor-page-builder
修复版本
1.12.13
CVE-2024-1358 是 Elementor Addon Elements 插件中的目录遍历漏洞。该漏洞允许经过身份验证的攻击者(具有贡献者权限或更高权限)包含服务器上的任意 PHP 文件,从而可能泄露敏感信息。此漏洞影响 Elementor Addon Elements 插件的所有版本,包括 ≤1.12.12。建议尽快升级插件以修复此漏洞。
该漏洞的潜在影响非常严重。攻击者可以利用它来读取服务器上的任何 PHP 文件,这可能包括包含数据库凭据、API 密钥或其他敏感信息的配置文件。通过读取这些文件,攻击者可以获得对服务器和应用程序的完全控制权。更进一步,攻击者可能利用此漏洞执行恶意代码,从而导致数据泄露、服务中断或系统被破坏。由于 Elementor 插件被广泛使用,该漏洞可能影响大量 WordPress 网站。
目前,该漏洞的公开利用代码 (POC) 已知。由于漏洞的严重性和易利用性,预计该漏洞将成为攻击者的目标。该漏洞已在 2024 年 3 月 13 日公开披露。CISA 尚未将其添加到 KEV 目录,但由于其高 CVSS 评分和公开的利用代码,应将其视为高风险漏洞。
WordPress sites using the Elementor Addon Elements plugin, particularly those with contributor-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions are also at increased risk.
• wordpress / composer / npm:
grep -r "render function" /var/www/html/wp-content/plugins/elementor-addon-elements/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/elementor-addon-elements/some_file.php | grep "PHP/" # Check for PHP file exposuredisclosure
漏洞利用状态
EPSS
2.61% (86% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Elementor Addon Elements 插件升级到修复版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,并实施额外的安全控制措施。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止对可能触发漏洞的文件的访问。还可以通过限制文件上传权限和禁用不必要的功能来减少攻击面。建议定期审查 WordPress 插件,并确保它们来自可信的来源。
Actualice el plugin Elementor Addon Elements a la última versión disponible. La vulnerabilidad de recorrido de directorios permite la inclusión de archivos PHP arbitrarios, lo que podría exponer información sensible. La actualización corrige esta vulnerabilidad.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-1358 是 Elementor Addon Elements 插件中的一个目录遍历漏洞,允许攻击者包含任意 PHP 文件,可能泄露敏感信息。
如果您正在使用 Elementor Addon Elements 插件的版本 ≤1.12.12,则您可能受到此漏洞的影响。
立即将 Elementor Addon Elements 插件升级到修复版本。如果升级导致问题,请考虑回滚并实施额外的安全控制措施。
目前已知有公开利用代码,因此预计该漏洞将成为攻击者的目标。
请访问 Elementor 官方网站或查看其安全公告页面,以获取有关此漏洞的更多信息和官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。