CRITICAL✓ PATCH🇬🇧 English

CVE-2023-31231

Unrestricted File Upload w wtyczce Unlimited Elements For Elementor

CVSS 9.9v3.1pub. 2023-12-20upd. 2026-04-28

Wtyczka Unlimited Elements For Elementor dla WordPressa w wersjach do 1.5.65 włącznie umożliwia uwierzytelnionemu atakującemu przesłanie dowolnego pliku niebezpiecznego typu. Podatność jest krytyczna, ponieważ może prowadzić do zdalnego wykonania kodu na serwerze.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates).This issue affects Unlimited Elements For Elementor (Free Widgets, Addons, Templates): from n/a through 1.5.65.

🤖 Analiza AI
Jak działa

Luka sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) polega na braku odpowiedniej walidacji rozszerzenia lub typu przesyłanego pliku. Uwierzytelniony użytkownik (nawet o niskich uprawnieniach) może przesłać plik wykonywalny, np. skrypt PHP, przez podatny mechanizm uploadu wtyczki. Po umieszczeniu takiego pliku na serwerze atakujący może go wywołać przez przeglądarkę i wykonać dowolny kod w kontekście serwera webowego. Wektor CVSS wskazuje na zmianę zakresu (Scope Changed), co oznacza, że skutki mogą wykraczać poza samą aplikację WordPress.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie kodu (RCE), a także naruszyć poufność, integralność i dostępność danych oraz całego środowiska hostingowego.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Unlimited Elements For Elementor do wersji wyższej niż 1.5.65. Szczegóły dotyczące wersji zawierającej poprawkę dostępne są w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka Unlimited Elements For Elementor (Free Widgets, Addons, Templates) w wersjach od początku do 1.5.65 włącznie, zainstalowana na platformie WordPress.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Unlimited Elements For Elementor

    APP
    Unlimited-Elements
    < 1.5.66
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-49271CRITICAL9.1PL ✓ten sam produkt

RCE przez Deserialization w pluginie Unlimited Elements For Elementor

CVE-2023-33930CRITICAL9.1PL ✓ten sam produkt

Nieograniczony upload plików w wtyczce Unlimited Elements For Elementor

CVE-2023-31090CRITICAL9.9PL ✓ten sam produkt

Unrestricted File Upload umożliwiający Web Shell w pluginie Unlimited Elements For Elementor

CVE-2024-45454HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Unlimite...

CVE-2023-31080HIGH8.3ten sam produkt

Missing Authorization vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addo...

CVE-2023-31231 — Unrestricted File Upload w wtyczce Unlimited Elements For Elementor — CRITICAL 9.9 | CVEbaza.pl