La vulnerabilidad CVE-2024-5179, denominada ‘Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)’, afecta al plugin Cowidgets – Elementor Addons para WordPress en versiones hasta la 1.1.1. Esta vulnerabilidad permite a atacantes autenticados, con acceso de nivel Contributor y superior, incluir y ejecutar archivos arbitrarios en el servidor, lo que podría llevar a la ejecución de código PHP malintencionado.
La vulnerabilidad de Inclusión Local de Archivos en Cowidgets – Elementor Addons <= 1.1.1 se produce a través de los parámetros 'item_style' y 'style'. Esto significa que, si un atacante logra autenticarse en el sistema con privilegios de Contributor o superior, podría aprovechar esta vulnerabilidad para incluir archivos maliciosos y ejecutar código arbitrario en el servidor. Esto pone en riesgo la integridad y seguridad de la aplicación WordPress, permitiendo a los atacantes eludir controles de acceso y potencialmente obtener datos sensibles o ejecutar código malicioso.
Para mitigar el riesgo asociado con esta vulnerabilidad, se recomienda a los usuarios actualizar a la última versión del plugin Cowidgets – Elementor Addons tan pronto como sea posible. Además, se aconseja a los administradores de WordPress que supervisen de cerca las actividades de los usuarios con privilegios de Contributor y superiores para detectar cualquier intento de explotación de esta vulnerabilidad.