CVE-2024-5348

O plugin Elements For Elementor para o WordPress, versões até a 2.1, inclusive

A vulnerabilidade permite que invasores autenticados, com acesso de nível Contribuidor ou superior, incluam e executem arquivos arbitrários no servidor por meio de atributos específicos de vários widgets, incluindo beforeafter layout, eventsgrid layout, marquee layout, postgrid layout, woocart layout e woogrid layout. Isso permite a execução de qualquer código PHP nesses arquivos, potencialmente contornando controles de acesso, obtendo dados confidenciais ou realizando a execução de código, especialmente em casos em que imagens e outros tipos de arquivos “seguros” podem ser carregados e incluídos.

Para versões até a 2.1, inclusive, considere desativar os widgets afetados, especificamente aqueles que utilizam os atributos beforeafter layout, eventsgrid layout, marquee layout, postgrid layout, woocart layout e woogrid layout, até que um patch esteja disponível. Restrinja o acesso a esses widgets para minimizar o risco de exploração. Evite usar esses atributos nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.