Elementor <= 1.5.89 的无限元素 - 通过模板导入进行经过身份验证的 (Contributor+) 远程代码执行 (CVE-2023-6743)

CVE编号

CVE-2023-6743

利用情况

暂无

补丁情况

N/A

披露时间

2024-05-29

漏洞描述

WordPress插件Unlimited Elements For Elementor中的所有版本（包括1.5.89及以下版本）均存在远程代码执行漏洞，攻击者可通过模板导入功能执行代码，从而使得已认证的攻击者（权限为投稿者及以上）能够在服务器上执行恶意代码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/unlimited-elements-for-elementor/t...
https://plugins.trac.wordpress.org/browser/unlimited-elements-for-elementor/t...
https://plugins.trac.wordpress.org/changeset/3010986/unlimited-elements-for-e...
https://plugins.trac.wordpress.org/changeset/3015166/unlimited-elements-for-elementor
https://www.wordfence.com/threat-intel/vulnerabilities/id/25f71a19-85b1-4bc9-...

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com