El plugin Elements For Elementor para WordPress es vulnerable a la Inclusión Local de Archivos en todas las versiones hasta, e incluyendo, la 2.1 a través de diferentes atributos de widgets. Esto permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos.
La vulnerabilidad CVE-2024-5348 se origina en la mala manipulación del nombre de archivo para las declaraciones de Include/Require en programas PHP (‘Inclusión Remota de Archivos PHP’). Específicamente, esta vulnerabilidad se presenta en los atributos ‘beforeafter_layout’ del widget beforeafter, ‘eventsgrid_layout’ de los widgets eventsgrid y list, ‘marquee_layout’ del widget marquee, ‘postgrid_layout’ del widget postgrid, ‘woocart_layout’ del widget woocart y ‘woogrid_layout’ del widget woogrid. Al explotar esta vulnerabilidad, los atacantes pueden realizar actividades maliciosas como eludir controles de acceso, obtener datos sensibles o lograr la ejecución de código.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Elements For Elementor a la última versión disponible. Asimismo, se deben monitorear de cerca los archivos y permisos del servidor para detectar cualquier actividad sospechosa que pueda estar explotando esta vulnerabilidad.