CVE-2024-9935丨Elementor Page Builder <= 1.7.5 的 PDF 生成器插件 - 未经身份验证的任意文件下载

2024年11月18日 152点热度 0人点赞 0条评论

CVE编号

CVE-2024-9935

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-16

WordPress的Elementor页面构建器插件的PDF生成器插件存在路径遍历漏洞，该漏洞存在于所有版本，包括1.7.5版本，其影响函数为rtw_pgaepb_dwnld_pdf()。这使得未经身份验证的攻击者能够读取服务器上的任意文件内容，这些文件可能包含敏感信息。

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://plugins.trac.wordpress.org/browser/pdf-generator-addon-for-elementor-...
https://www.wordfence.com/threat-intel/vulnerabilities/id/36daf2af-1db3-4b35-...