• Votre panier est vide.

  • LOGIN

Vulnérabilité grave du plugin Elementor Pro WP activement exploitée


Certains articles de veille peuvent faire l'objet de traduction automatique.


Une grave vulnérabilité existait dans le populaire plugin WordPress Elementor Pro qui pourrait permettre des prises de contrôle de sites Web. Pire encore, la vulnérabilité a été attaquée peu de temps après avoir gagné du terrain, obligeant les administrateurs WP à installer rapidement les correctifs de bogues.

Vulnérabilité du plugin Elementor Pro risquée Administrateurs du site

Selon les détails partagés par le découvreur de cette vulnérabilité, Jérôme Bruandet, dans un posteune vulnérabilité de prise de contrôle de site à haute gravité a affecté le plug-in Elementor Pro.

Bruandet a observé la vulnérabilité affectant uniquement la version premium, les sites Web utilisant la version Elementor (gratuite) sont donc restés à l’abri de la faille.

Plus précisément, le chercheur a observé un manque de validation dans update_option, une fonction lorsqu’elle est appelée par pro_woocommerce_update_page_option. Bien que cette fonction permette à l’administrateur du site de mettre à jour les options WooCommerce requises, le manque de validation de l’utilisateur permettait un accès illimité aux utilisateurs authentifiés non privilégiés. Par conséquent, un adversaire authentifié pourrait créer des comptes d’administrateur et prendre le contrôle du site Web cible.

Elementor Pro est la version premium du populaire plugin WordPress Elementor, permettant aux administrateurs de sites de créer sans effort des sites Web attrayants. Le plugin compte actuellement plus de 5 millions d’installations actives. Cela signifie que toute vulnérabilité de ce plugin peut mettre en péril des millions de sites Web dans le monde lors de son exploitation.

C’est ce que Patchstack a souligné dans son consultatif, informant les utilisateurs de l’exploitation active de la vulnérabilité Elementor Pro. Ils ont observé de nombreuses tentatives d’exploitation à partir de différentes adresses IP (impliquant principalement ces trois IP : 193.169.194.63, 193.169.195.64 et 194.135.30.6). En outre, ils ont remarqué que les attaquants redirigeaient les utilisateurs vers des URL malveillantes, ce qui pouvait non seulement nuire à la crédibilité du site Web infecté, mais aussi menacer la sécurité des visiteurs du site.

Ladite vulnérabilité affectait les versions 3.11.6 et inférieures d’Elementor Pro. Lorsqu’ils ont été informés de la faille, les développeurs du plugin ont corrigé le problème et publié le correctif avec la version 3.11.7.

Patchstack exhorte tous les administrateurs de site utilisant Elementor Pro à mettre à jour leurs sites avec la dernière version du plug-in (3.11.7 ou supérieure) pour recevoir le correctif. Le plug-in site WordPress officiel répertorie la version actuelle comme 3.12.0.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

avril 4, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)