平台
wordpress
组件
elementor
修复版本
3.19.1
CVE-2024-24934 描述了 Elementor 网站构建器中存在的不安全反序列化漏洞,允许攻击者通过操纵 Web 输入来执行文件系统调用,即路径遍历。此漏洞影响 Elementor 网站构建器版本小于或等于 3.19.0 的用户。Elementor 团队已发布 3.19.1 版本来解决此问题,建议用户尽快升级。
此漏洞允许攻击者通过精心构造的输入,绕过安全检查,访问服务器上的敏感文件或执行恶意代码。攻击者可能能够读取、修改或删除服务器上的文件,甚至可能在服务器上执行任意代码。由于 Elementor 广泛应用于 WordPress 网站,因此此漏洞可能影响大量网站的安全。如果攻击者成功利用此漏洞,可能会导致数据泄露、网站被篡改或服务器被控制,造成严重的经济损失和声誉损害。类似于其他反序列化漏洞,攻击者可能利用此漏洞进行横向移动,攻击整个网络。
此漏洞已公开披露,并且存在公开的利用代码。目前尚不清楚是否存在大规模的利用活动,但由于 Elementor 的广泛使用,该漏洞可能成为攻击者的目标。CISA 尚未将其添加到 KEV 目录中。建议密切关注安全社区的动态,及时了解最新的威胁情报。
WordPress websites utilizing the Elementor Website Builder plugin are at risk. This includes sites with older Elementor installations (≤3.19.0), shared hosting environments where file system access may be more permissive, and sites where Elementor users have elevated privileges.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' /var/www/html/wp-content/plugins/elementor/core/• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/elementor/core/somefile.php?path=/etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
0.88% (75% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Elementor 网站构建器升级到 3.19.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意输入,阻止攻击者利用此漏洞。此外,应定期审查 Elementor 的配置,确保其安全性。如果使用共享主机,请联系主机提供商,了解他们是否已采取措施来缓解此漏洞。在升级后,请检查 Elementor 的日志文件,确认漏洞已成功修复。
Actualice el plugin Elementor Website Builder a la última versión disponible. La vulnerabilidad se encuentra en versiones anteriores a la más reciente. La actualización corregirá la vulnerabilidad de path traversal y deserialización de Phar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-24934 是 Elementor 网站构建器中发现的不安全反序列化漏洞,允许攻击者进行路径遍历,可能导致文件系统访问。
如果您使用的是 Elementor 网站构建器版本小于或等于 3.19.0,则可能受到此漏洞的影响。
请立即将 Elementor 网站构建器升级到 3.19.1 或更高版本。
此漏洞已公开披露,并且存在公开的利用代码,因此存在被利用的风险。
请访问 Elementor 官方网站或安全公告页面,查找有关此漏洞的详细信息和修复指南。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。