WordPress Ultimate Bootstrap Elements for Elementor 插件 <= 1.4.4 - 存在本地文件包含 (Local File Inclusion) 漏洞

攻击者可以利用此路径遍历漏洞，通过构造恶意的 URL 请求，访问服务器上的任意文件。这可能包括读取 WordPress 配置文件（wp-config.php），其中包含数据库凭据；读取包含敏感信息的日志文件；甚至包含并执行攻击者控制的 PHP 代码，从而完全控制受影响的网站。如果攻击者能够执行代码，他们可以修改网站内容、窃取用户数据、安装恶意软件，甚至将网站用作攻击的跳板。由于 WordPress 插件的广泛使用，该漏洞的潜在影响范围非常广泛。

Websites using the Ultimate Bootstrap Elements for Elementor plugin, particularly those running older versions (≤1.4.4), are at risk. Shared hosting environments where WordPress installations have limited access control are especially vulnerable, as an attacker could potentially exploit this vulnerability on multiple sites simultaneously.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/*

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/ultimate-bootstrap-elements-for-elementor/../../../../etc/passwd

1. 2024-08-13Disclosure

   disclosure

1. 已保留2024-08-07
2. 发布日期2024-08-13
3. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Ultimate Bootstrap Elements for Elementor 升级至 1.4.5 或更高版本。如果升级会导致网站出现问题，可以考虑回滚到之前的版本，但请注意这只是临时解决方案。此外，可以配置 Web 应用防火墙 (WAF) 或反向代理服务器，以阻止包含恶意路径的请求。例如，可以设置规则来过滤包含 '../' 或其他路径遍历尝试的 URL。定期审查 WordPress 插件的权限和配置，确保它们只具有执行其功能所需的最低权限。

活跃安装数

7K已知

插件评分

5.0

需要WordPress版本

4.7+

兼容至

6.8.5

需要PHP版本

5.6+