Vulnerabilità plugin Elementor _3.19.1

Vulnerabilità plugin Elementor < 3.19.1

Tipo di vulnerabilità

Il plugin Elementor Website Builder, molto più di un semplice Page Builder per WordPress, è vulnerabile alle eliminazioni arbitrarie di file e alla deserializzazione PHAR fino alla versione 3.19.0 inclusa. Ciò è dovuto al fatto che il plugin non fornisce una validazione sufficiente del percorso sul parametro ‘tmp_name’. Ciò consente ai malintenzionati autenticati, con accesso a livello di collaboratore e superiore, di eliminare file arbitrari e inserire oggetti PHP attraverso l’uso di un wrapper phar, i quali possono portare all’esecuzione di codice remoto.

Infezione

Versione infetta

fino alla versione 3.19.0 compresa

Referenze

Soluzione

Per risolvere questa vulnerabilità, è sufficiente aggiornare il plugin alla versione 3.19.1.

Hai bisogno di una soluzione?

Richiedi un’analisi gratuita ai nostri tecnici WordPress specializzati: sono pronti per mettere in sicurezza il tuo sito!

Articoli correlati

Vulnerabilità plugin WooCommerce < 8.6

Il plugin Woocommerce presenta una vulnerabilità che rende possibile agli utenti autenticati con livello di collaboratore e superiore di accedere a prodotti classificati come privati, bozze o cestinati....

Vulnerabilità Tema Avada < 7.11.6

Il tema Avada, Website Builder per WordPress & WooCommerce, è vulnerabile all'esposizione di informazioni sensibili nelle versioni fino alla 7.11.5 inclusa, attraverso la pagina di inserimento dei moduli....

Vulnerabilità plugin POST SMTP Mailer < 2.8.8

Il plugin è vulnerabile all'accesso non autorizzato e alla modifica dei dati a causa di un problema di manipolazione dei tipi sull'endpoint REST della connect-app in tutte le versioni fino...