Magazine Gadgets

Ce plugin WordPress de premier plan avait une faille de sécurité qui pouvait permettre aux pirates de pirater votre site

Publié le 08 mai 2023 par Mycamer

L’un des plus populaires Générateur de site Web plugins pour WordPress porte une vulnérabilité de haute gravité que les acteurs de la menace peuvent utiliser pour prendre complètement le contrôle du site Web vulnérable, ont averti les chercheurs.

Le chercheur en cybersécurité Jérôme Bruandet de NinTechNet a déclaré avoir découvert une faille dans Elementor Pro qui permet à un attaquant authentifié de créer un compte administrateur. Cela donne aux attaquants un éventail de possibilités, dont une qui est activement utilisée – pour rediriger tout le trafic vers un site Web externe malveillant.

ArsTechnica signale que le trafic des sites Web compromis est redirigé vers[dot]trackersline[dot]com.

Vulnérabilité critique

Les experts en sécurité de WordPress PatchStack ont ​​également découvert que certains acteurs malveillants téléchargeaient des fichiers malveillants sur des sites Web vulnérables, notamment wp-resortpack.zip, wp-rate.php et lll.zip.

La vulnérabilité a été notée 8,8/10, ce qui lui a valu le statut “critique”. Il est conseillé aux utilisateurs de mettre à jour Elementor Pro vers 3.11.7 ou une version ultérieure, car toutes les anciennes versions sont vulnérables à la faille.

Ce n’est pas la première fois qu’une faille très grave est découverte dans Elementor. En avril de l’année dernière, des chercheurs en cybersécurité de Wordfence ont découvert une faille qui permettait à tout utilisateur authentifié de télécharger du code PHP arbitraire. À l’époque, le plug-in était en version 3.6.0, qui introduisait un nouveau module d’intégration. L’objectif du module était de simplifier la configuration initiale du plug-in, mais il était accompagné d’une méthode “inhabituelle” pour enregistrer les actions AJAX, sans vérification de capacité.

Par conséquent, tout utilisateur connecté peut utiliser n’importe laquelle des fonctions d’intégration. Cela étant dit, un attaquant pourrait, par exemple, créer un zip de plugin “Elementor Pro” malveillant, et utiliser les fonctions d’intégration pour l’installer. Le site exécuterait alors tout code présent dans le plugin, y compris le code conçu pour prendre en charge le site, ou accéder à des ressources supplémentaires sur le serveur. Les fonctions pourraient également être utilisées pour défigurer complètement le site, disaient les chercheurs à l’époque.

Aujourd’hui, Elementor Pro est utilisé par plus de 12 millions de sites Web, conclut ArsTechnica.

Via: Ars Technica (s’ouvre dans un nouvel onglet)

to www.techradar.com


Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931



Retour à La Une de Logo Paperblog

A propos de l’auteur


Mycamer Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazines