Podatność deserializacji niezaufanych danych w pluginie WordPress 'Unlimited Elements For Elementor' umożliwia zdalne wykonanie kodu (RCE) poprzez command injection. Krytyczny poziom zagrożenia (CVSS 9.1) wynika z możliwości przejęcia pełnej kontroli nad serwerem.
▸ Pokaż oryginał (EN)
Deserialization of Untrusted Data vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addons, Templates) unlimited-elements-for-elementor allows Command Injection.This issue affects Unlimited Elements For Elementor (Free Widgets, Addons, Templates): from n/a through <= 1.5.121.
Podatność polega na deserializacji danych pochodzących z niezaufanych źródeł (CWE-82, CWE-94), co prowadzi do command injection. Atakujący posiadający uprawnienia na poziomie administratora może przesłać spreparowane dane, które po zdeserializowaniu zostają wykonane jako polecenia systemowe na serwerze. Błąd umożliwia wyjście poza kontekst aplikacji (Scope Changed), co oznacza możliwość oddziaływania na zasoby wykraczające poza sam plugin.
Atakujący może uzyskać pełny dostęp do poufnych danych, zmodyfikować lub usunąć zawartość serwera oraz całkowicie przejąć kontrolę nad systemem, na którym działa podatna aplikacja.
Należy zaktualizować plugin 'Unlimited Elements For Elementor' do wersji wyższej niż 1.5.121. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz bazie Patchstack.
Plugin 'Unlimited Elements For Elementor (Free Widgets, Addons, Templates)' dla WordPress w wersjach od początku wydań do 1.5.121 włącznie.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HUnlimited Elements For Elementor
APPUnlimited-Elements< 1.5.122
Powiązane podatności
Nieograniczony upload plików w wtyczce Unlimited Elements For Elementor
Unrestricted File Upload umożliwiający Web Shell w pluginie Unlimited Elements For Elementor
Unrestricted File Upload w wtyczce Unlimited Elements For Elementor
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in Unlimite...
Missing Authorization vulnerability in Unlimited Elements Unlimited Elements For Elementor (Free Widgets, Addo...