WordPress Ultimate Bootstrap Elements for Elementor 插件 <= 1.4.2 - 路径遍历 (Path Traversal) 漏洞

攻击者可以利用此路径遍历漏洞，通过构造恶意的 URL 请求，访问服务器文件系统中的任意文件。这可能导致敏感信息泄露，例如配置文件、数据库凭证、源代码或其他敏感数据。攻击者甚至可能利用此漏洞执行远程代码，如果他们能够访问并修改服务器上的可执行文件。由于该插件通常用于构建网站前端，因此攻击者可能能够篡改网站内容或植入恶意代码。

WordPress websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.2) and those with weak file permission configurations, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*

• generic web:

curl -I 'http://example.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd' # Check for sensitive file access

1. 2024-07-09Disclosure

   disclosure

1. 已保留2024-06-09
2. 发布日期2024-07-09
3. 修改日期2024-08-02
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Ultimate Bootstrap Elements for Elementor 插件升级至 1.4.3 或更高版本。如果升级会导致网站中断，可以考虑回滚到之前的稳定版本，并暂时禁用该插件。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含可疑路径遍历尝试的请求。例如，可以设置规则来过滤包含 '../' 或其他路径遍历模式的 URL。务必在升级后，检查网站日志，确认漏洞已成功修复。

活跃安装数

7K已知

插件评分

5.0

需要WordPress版本

4.7+

兼容至

6.8.5

需要PHP版本

5.6+