平台
wordpress
组件
consulting-elementor-widgets
修复版本
1.3.1
CVE-2024-37092 是 Consulting Elementor Widgets 组件中的路径遍历漏洞,允许攻击者通过构造恶意请求包含任意文件。该漏洞的潜在影响包括敏感文件泄露、恶意代码执行,甚至可能导致服务器控制。该漏洞影响 Consulting Elementor Widgets 版本小于或等于 1.3.0 的用户,建议立即升级至 1.3.1 版本以修复。
攻击者可以利用此路径遍历漏洞,通过构造恶意的 URL 请求,访问服务器上的任意文件。这可能包括包含敏感信息的文件,例如数据库凭证、配置文件或源代码。更严重的情况下,攻击者可能能够包含 PHP 文件,从而执行任意代码,完全控制受影响的服务器。由于该漏洞位于 WordPress 插件中,攻击者可以通过恶意网站或插件感染目标系统,实现横向移动,扩大攻击范围。类似攻击模式可能导致数据泄露、服务中断和声誉损害。
该漏洞已公开披露,存在潜在的利用风险。目前尚无公开的利用程序 (PoC),但由于漏洞的严重性和易利用性,预计未来可能会出现。CISA 尚未将其添加到 KEV 目录,但建议密切关注漏洞的动态。
WordPress sites utilizing the Consulting Elementor Widgets plugin, particularly those running versions prior to 1.3.1, are at significant risk. Shared hosting environments where plugin updates are not managed centrally are especially vulnerable, as are sites with less stringent security configurations.
• wordpress / composer / npm:
grep -r '../' /var/www/html/wp-content/plugins/consulting-elementor-widgets/*• generic web:
curl -I 'http://your-wordpress-site.com/wp-content/plugins/consulting-elementor-widgets/../../../../etc/passwd' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
1.08% (78% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Consulting Elementor Widgets 升级至 1.3.1 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 WordPress 插件的上传目录权限,确保只有授权用户才能上传插件。实施 Web 应用防火墙 (WAF) 规则,阻止包含路径遍历攻击模式的请求。审查 WordPress 插件的配置,确保没有不必要的权限或访问权限。如果无法升级,请确保服务器上的 PHP 版本是最新的,并已启用所有安全补丁。
Actualice el plugin Consulting Elementor Widgets a la última versión disponible. La vulnerabilidad de inclusión de archivos locales (LFI) se corrige en versiones posteriores a la 1.3.0. Consulte la documentación del plugin para obtener instrucciones sobre cómo actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-37092 是 Consulting Elementor Widgets 插件中的路径遍历漏洞,允许攻击者访问服务器上的任意文件。
如果您正在使用 Consulting Elementor Widgets 的版本小于或等于 1.3.0,则您可能受到此漏洞的影响。
立即将 Consulting Elementor Widgets 升级至 1.3.1 或更高版本。
目前尚无公开的利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。
请访问 StylemixThemes 官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。