Vulnerabilidad en Elements For Elementor para WordPress (CVE-2024-5348)

El complemento Elements For Elementor para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 2.1 incluida a través del atributo 'beforeafter_layout' del widget beforeafter, el atributo 'eventsgrid_layout' de los widgets de lista y grid de eventos, el 'marquee_layout' atributo del widget de marquesina, el atributo 'postgrid_layout' del widget postgrid, el atributo 'woocart_layout' del widget woocart y el atributo 'woogrid_layout' del widget woogrid. Esto hace posible que atacantes autenticados, con acceso de nivel Colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".