Un jour zéro critique dans le plugin Elementor Pro met en danger 1M de sites WordPress - FR

Les chercheurs de Wordfence ont récemment signalé une exploitation active des failles de sécurité dans deux plugins WordPress connexes - Elementor Pro et Ultimate Addons pour Elementor. En raison de ces vulnérabilités, plus que 1 millions de sites sont à risque. Il est important de noter que le plugin gratuit Elementor, installé sur plus de 4 millions de sites Web, n'est pas impacté par cette faille. Le plugin gratuit est disponible en téléchargement séparé à partir du référentiel de plugins WordPress. La version pro peut être téléchargée sur le site Elementor.com.

Vulnérabilité Zero-Day du plug-in Elementor Pro

Le plugin Elementor Pro, un plugin de création de page, a une vulnérabilité critique de jour zéro qui, selon Wordfence, est exploitable lorsque les utilisateurs ont un enregistrement ouvert. La vulnérabilité a été décrite comme «Téléchargement de fichiers arbitraires authentifiés" problème.

La bonne nouvelle est qu'Elementor a déjà publié une prochaine version du plugin où la vulnérabilité est corrigée - Version Elementor Pro 2.9.4. L'équipe Wordfence a confirmé que la nouvelle version corrige le problème, et les utilisateurs sont invités à mettre à jour dès que possible.

Quels sont les scénarios d'exploitation de cette vulnérabilité? Le problème permet aux inscrits (mal intentionné) les utilisateurs à télécharger des fichiers arbitraires qui peuvent conduire à des attaques d'exécution de code à distance. Une fois l'exécution de code à distance effectuée, l'attaquant peut:

  • Installer une porte dérobée sur le site Web ou la coquille Web compromis pour maintenir l'accès;
  • Obtenez les droits d'administrateur complets sur WordPress;
  • Supprimer le site compromis.

Compléments ultimes pour la vulnérabilité Elementor

Ce plugin a été développé par Brainstorm Force. Il existe une vulnérabilité de contournement d'enregistrement dans ce plugin qui permet d'exploiter le problème Elementor Pro, même lorsque l'inscription sur le site n'est pas activée.

Le plugin Elementor Pro a été installé sur plus de 1 millions de sites Web, alors que Ultimate Addons a 110,000 les installations. Cela rend le nombre de sites affectés assez excessif. Les utilisateurs du plugin Ultimate Addons pour Elementor doivent exécuter la version 1.24.2 ou plus pour éviter les attaques.

Les deux vulnérabilités sont exploitées ensemble, Wordfence dit:

Dans les cas où l'enregistrement d'un utilisateur n'est pas activé sur un site, les attaquants utilisent la vulnérabilité Ultimate Addons for Elementor sur des sites non corrigés pour s'enregistrer en tant qu'abonné. Ensuite, ils utilisent les nouveaux comptes enregistrés pour exploiter la vulnérabilité Zero Day d'Elementor Pro et réaliser l'exécution de code à distance.

Les utilisateurs concernés doivent mettre à jour vers les dernières versions des plugins pour éviter l'exploitation.

Lisez aussi Presque 1M sites WordPress attaqués en raison de plugins vulnérables

Recherché et créé par:
Kroum Popov
Entrepreneur passionné du Web, crée des projets Web depuis 2007. Dans 2020, il a fondé HTH.Guide — une plateforme visionnaire dédiée à rationaliser la recherche de la solution d'hébergement Web parfaite. En savoir plus...
Techniquement révisé par:
Métodi Ivanov
Expert chevronné en développement Web avec 8+ des années d'expérience, y compris des connaissances spécialisées dans les environnements d'hébergement. Son expertise garantit que le contenu répond aux normes d'exactitude les plus élevées et s'aligne parfaitement avec les technologies d'hébergement.. En savoir plus...

Laisser un commentaire

Votre adresse email ne sera pas publiée. les champs requis sont indiqués *

Ce site est protégé par reCAPTCHA et Google Politique de confidentialité et Conditions d'utilisation appliquer.

Ce site utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à notre Politique de confidentialité.
Je suis d'accord
Chez HTH.Guide, nous proposons des avis transparents sur l'hébergement Web, garantir l’indépendance vis-à-vis des influences extérieures. Nos évaluations sont impartiales car nous appliquons des normes strictes et cohérentes à tous les avis..
Bien que nous puissions gagner des commissions d'affiliation de certaines des sociétés présentées, ces commissions ne compromettent pas l'intégrité de nos avis et n'influencent pas notre classement.
Les revenus de l'affilié contribuent à couvrir l'acquisition du compte, frais de tests, entretien, et développement de notre site Web et de nos systèmes internes.
Faites confiance à HTH.Guide pour des informations fiables et de la sincérité en matière d'hébergement.