CVE-2024-10873

Plugin LA-Studio Element Kit for Elementor para WordPress, versões até a 1.4.2, inclusive

A vulnerabilidade permite que invasores autenticados com acesso de nível Contribuidor ou superior incluam e executem arquivos arbitrários no servidor por meio da função load template. Isso possibilita a execução de qualquer código PHP nesses arquivos, o que pode ser usado para contornar controles de acesso, obter dados confidenciais ou executar código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” possam ser carregados e incluídos.

Para versões até a 1.4.2, inclusive, considere desativar a função load template como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a arquivos e diretórios confidenciais para minimizar o risco de exploração. Evite enviar arquivos executáveis ou quaisquer arquivos que possam ser usados para executar código malicioso. Atualize para uma versão que corrija esta vulnerabilidade assim que ela estiver disponível.