L’un des plugins de création de sites Web les plus populaires pour WordPress comporte une vulnérabilité de haute gravité que les acteurs de la menace peuvent utiliser pour prendre complètement le contrôle du site Web vulnérable, ont averti les chercheurs.
Le chercheur en cybersécurité Jérôme Bruandet de NinTechNet a déclaré avoir découvert une faille dans Elementor Pro qui permet à un attaquant authentifié de créer un compte administrateur. Cela donne aux attaquants un éventail de possibilités, dont une qui est activement utilisée – pour rediriger tout le trafic vers un site Web externe malveillant.
ArsTechnica signale que le trafic des sites Web compromis est redirigé vers[dot]trackersline[dot]com.
Vulnérabilité critique
WordPress (s’ouvre dans un nouvel onglet) Les experts en sécurité PatchStack ont également découvert que certains acteurs malveillants téléchargeaient des fichiers malveillants sur des sites Web vulnérables, notamment wp-resortpack.zip, wp-rate.php et lll.zip.
La vulnérabilité a été notée 8,8/10, ce qui lui a valu le statut « critique ». Il est conseillé aux utilisateurs de mettre à jour Elementor Pro vers 3.11.7 ou une version ultérieure, car toutes les anciennes versions sont vulnérables à la faille.
Ce n’est pas la première fois qu’une faille très grave est découverte dans Elementor. En avril de l’année dernière, des chercheurs en cybersécurité de Wordfence ont découvert une faille qui permettait à tout utilisateur authentifié de télécharger du code PHP arbitraire. À l’époque, le plug-in était en version 3.6.0, qui introduisait un nouveau module d’intégration. L’objectif du module était de simplifier la configuration initiale du plug-in, mais il était accompagné d’une méthode « inhabituelle » pour enregistrer les actions AJAX, sans vérification de capacité.
Par conséquent, tout utilisateur connecté peut utiliser n’importe laquelle des fonctions d’intégration. Cela étant dit, un attaquant pourrait, par exemple, créer un zip de plugin « Elementor Pro » malveillant, et utiliser les fonctions d’intégration pour l’installer. Le site exécuterait alors tout code présent dans le plugin, y compris le code conçu pour prendre en charge le site, ou accéder à des ressources supplémentaires sur le serveur. Les fonctions pourraient également être utilisées pour défigurer complètement le site, disaient les chercheurs à l’époque.
Aujourd’hui, Elementor Pro est utilisé par plus de 12 millions de sites Web, conclut ArsTechnica.
Via : ArsTechnica (s’ouvre dans un nouvel onglet)