CVE-2024-10873 in LA-Studio Element Kit for Elementor Plugin
الملخص
بحسب VulDB • 27/05/2026
يحتوي مكون LA-Studio Element Kit لإضافة Elementor لـ WordPress على ثغرة تضمين ملف محلي (Local File Inclusion) في جميع الإصدارات حتى 1.4.2 وشاملة لها، وذلك عبر دالة `_load_template`. تتيح هذه الثغرة للمهاجمين المصادق عليهم، والذين يمتلكون صلاحيات مستوى "مُساهم" (Contributor) فأعلى، تضمين وتنفيذ ملفات عشوائية على الخادم، مما يسمح بتنفيذ أي كود PHP موجود في تلك الملفات. يمكن استغلال هذه الثغرة لتجاوز ضوابط الوصول، أو الحصول على بيانات حساسة، أو تحقيق تنفيذ للكود في الحالات التي يُسمح فيها بتحميل وتضمين صور وأنواع ملفات أخرى "آمنة".
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.