CRITICAL✓ PATCH🇬🇧 English

CVE-2024-49271

RCE przez Deserialization w pluginie Unlimited Elements For Elementor

CVSS 9.1v3.1pub. 2024-10-16upd. 2026-04-23

Podatność deserializacji niezaufanych danych w pluginie WordPress 'Unlimited Elements For Elementor' umożliwia zdalne wykonanie kodu (RCE) poprzez command injection. Krytyczny poziom zagrożenia (CVSS 9.1) wynika z możliwości przejęcia pełnej kontroli nad serwerem.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) unlimited-elements-for-elementor allows Command Injection.This issue affects Unlimited Elements For Elementor (Free Widgets, Addons, Templates): from n/a through <= 1.5.121.

🤖 Analiza AI
Jak działa

Podatność polega na deserializacji danych pochodzących z niezaufanych źródeł (CWE-82, CWE-94), co prowadzi do command injection. Atakujący posiadający uprawnienia na poziomie administratora może przesłać spreparowane dane, które po zdeserializowaniu zostają wykonane jako polecenia systemowe na serwerze. Błąd umożliwia wyjście poza kontekst aplikacji (Scope Changed), co oznacza możliwość oddziaływania na zasoby wykraczające poza sam plugin.

Skutki

Atakujący może uzyskać pełny dostęp do poufnych danych, zmodyfikować lub usunąć zawartość serwera oraz całkowicie przejąć kontrolę nad systemem, na którym działa podatna aplikacja.

Mitygacja

Należy zaktualizować plugin 'Unlimited Elements For Elementor' do wersji wyższej niż 1.5.121. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz bazie Patchstack.

Kogo dotyczy

Plugin 'Unlimited Elements For Elementor (Free Widgets, Addons, Templates)' dla WordPress w wersjach od początku wydań do 1.5.121 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Unlimited Elements For Elementor

    APP
    Unlimited-Elements
    < 1.5.122
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2023-33930CRITICAL9.1PL ✓ten sam produkt

Nieograniczony upload plików w wtyczce Unlimited Elements For Elementor

CVE-2023-31090CRITICAL9.9PL ✓ten sam produkt

Unrestricted File Upload umożliwiający Web Shell w pluginie Unlimited Elements For Elementor

CVE-2023-31231CRITICAL9.9PL ✓ten sam produkt

Unrestricted File Upload w wtyczce Unlimited Elements For Elementor

CVE-2024-45454HIGH7.1ten sam produkt

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Unlimite...

CVE-2023-31080HIGH8.3ten sam produkt

Missing Authorization vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addo...