Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-6171)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/07/2024
Última modificación:
12/07/2024
Descripción
El complemento Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a la suplantación de direcciones IP en todas las versiones hasta la 1.5.112 incluida debido a una validación insuficiente de la dirección IP y/o al uso de encabezados HTTP proporcionados por el usuario. como método principal para la recuperación de IP. Esto hace posible que atacantes no autenticados omitan la funcionalidad antispam en los widgets de Form Builder.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:unlimited-elements:unlimited_elements_for_elementor_\(free_widgets\,_addons\,_templates\):*:*:*:*:*:wordpress:*:* | 1.5.113 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/unlimited-elements-for-elementor/trunk/inc_php/framework/functions.class.php#L3407
- https://plugins.trac.wordpress.org/browser/unlimited-elements-for-elementor/trunk/inc_php/unitecreator_form.class.php#L742
- https://plugins.trac.wordpress.org/changeset/3112307/
- https://www.wordfence.com/threat-intel/vulnerabilities/id/714acd7d-6d19-4087-bb27-b9a4ccbb678b?source=cve