平台
wordpress
组件
bdthemes-element-pack
修复版本
7.19.3
CVE-2024-33568 是 Element Pack Pro 中的一个不安全反序列化漏洞,允许攻击者利用路径遍历和对象注入技术。该漏洞可能导致未经授权的访问敏感数据或执行恶意代码。此漏洞影响 Element Pack Pro 版本低于或等于 7.19.3 的用户。建议立即升级到 7.19.3 版本以消除此风险。
攻击者可以利用此漏洞读取服务器上的任意文件,甚至可能执行任意代码。攻击者可以通过构造恶意的序列化数据,绕过安全检查,并访问 Element Pack Pro 插件的内部数据或配置。如果服务器配置不当,攻击者可能利用此漏洞进行横向移动,访问其他系统和资源。此漏洞的潜在影响包括敏感信息泄露、系统被入侵以及数据损坏。
此漏洞已公开披露,且存在公开的利用代码。目前尚无关于此漏洞被大规模利用的报告,但由于其严重性和易利用性,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录。NVD 发布日期为 2024-06-04。
WordPress websites utilizing BdThemes Element Pack Pro, particularly those with weak file access permissions or lacking input validation, are at significant risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.
• wordpress / composer / npm:
grep -r 'unserialize($_REQUEST[')' . ']' in /var/www/html/wp-content/plugins/element-pack-pro/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/element-pack-pro/ | grep -i 'content-type: application/octet-stream'disclosure
漏洞利用状态
EPSS
0.74% (73% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Element Pack Pro 升级到 7.19.3 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,并尽快安排升级。此外,建议审查 Element Pack Pro 的配置,确保没有不必要的权限或访问控制。实施 Web 应用防火墙 (WAF) 可以帮助检测和阻止恶意请求。监控 Element Pack Pro 的日志文件,查找异常活动。
Actualice el plugin Element Pack Pro a la versión 7.19.3 o superior. Esta actualización corrige las vulnerabilidades de path traversal y deserialización de datos no confiables. Se recomienda realizar la actualización lo antes posible para proteger su sitio web.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-33568 是 Element Pack Pro 插件中的一个不安全反序列化漏洞,允许攻击者利用路径遍历和对象注入技术,可能导致敏感信息泄露或远程代码执行。
如果您正在使用 Element Pack Pro 插件,并且版本低于 7.19.3,则您可能受到此漏洞的影响。
立即将 Element Pack Pro 升级到 7.19.3 或更高版本。
虽然目前尚无大规模利用的报告,但由于其严重性和易利用性,建议尽快采取缓解措施。
请访问 BdThemes 官方网站或 Element Pack Pro 插件的更新日志,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。