Wtyczka Unlimited Elements For Elementor do WordPress w wersjach do 1.5.66 włącznie pozwala na przesyłanie plików niebezpiecznych typów bez odpowiedniej weryfikacji. Podatność umożliwia zdalne wykonanie kodu (RCE) na serwerze poprzez wstrzyknięcie złośliwego kodu (code injection).
▸ Pokaż oryginał (EN)
Unrestricted Upload of File with Dangerous Type vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) allows Code Injection.This issue affects Unlimited Elements For Elementor (Free Widgets, Addons, Templates): from n/a through 1.5.66.
Podatność sklasyfikowana jako CWE-434 polega na braku wystarczającej walidacji typów przesyłanych plików. Atakujący z uprawnieniami administratora może przesłać plik zawierający złośliwy kod (np. webshell) w formacie, który serwer następnie wykonuje. Według referencji mechanizm dotyczy nieograniczonej ekstrakcji archiwów ZIP, co pozwala na umieszczenie i uruchomienie dowolnych plików po stronie serwera. Podatność ma zasięg wykraczający poza komponent (Scope: Changed), co oznacza potencjalne przejęcie zasobów poza samą wtyczką.
Atakujący może uzyskać możliwość wykonania dowolnego kodu na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad systemem — naruszenia poufności, integralności oraz dostępności danych i usługi.
Należy zaktualizować wtyczkę Unlimited Elements For Elementor do wersji wyższej niż 1.5.66. Szczegóły dotyczące wersji zawierającej poprawkę dostępne są w referencjach producenta (Patchstack). Dodatkowo zaleca się ograniczenie uprawnień administracyjnych do zaufanych użytkowników oraz monitorowanie przesyłanych plików na serwerze.
Wtyczka Unlimited Elements For Elementor (Free Widgets, Addons, Templates) w wersjach od początku do 1.5.66 włącznie, działająca na platformie WordPress.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HUnlimited Elements For Elementor
APPUnlimited-Elements< 1.5.67
Powiązane podatności
RCE przez Deserialization w pluginie Unlimited Elements For Elementor
Unrestricted File Upload umożliwiający Web Shell w pluginie Unlimited Elements For Elementor
Unrestricted File Upload w wtyczce Unlimited Elements For Elementor
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Unlimite...
Missing Authorization vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addo...