Les utilisateurs d’Elementor qui n’ont pas été mis à jour récemment veulent obtenir la dernière version 3.1.4 dès que possible. Les chercheurs de Wordfence ont signalé un certain nombre de vulnérabilités XSS (Cross-Site Scripting) enregistrées dans le plugin à leurs auteurs en février, dont certaines ont été corrigées à ce stade, et des correctifs supplémentaires ont été publiés la deuxième semaine de mars.

Wordfence a résumé les vulnérabilités dans un bureau de poste Publié hier, avec des instructions détaillées sur la façon dont un attaquant peut compromettre des sites Web à l’aide d’Elementor:

Ces vulnérabilités pourraient permettre à n’importe qui, y compris aux contributeurs, d’accéder à l’éditeur Elementor pour ajouter du JavaScript aux articles. Ce JavaScript est exécuté lorsque le message est consulté, modifié ou prévisualisé par un autre utilisateur du site et peut être utilisé pour prendre le contrôle d’un site si la victime est un administrateur.

De nombreux « éléments » ou composants du plug-in acceptent un html_tag Paramètre renvoyé sans échappement et pouvant être défini pour exécuter un script. Certains des éléments vulnérables incluent la colonne, l’accordéon, l’en-tête, le séparateur, le champ de symbole et le champ d’image.

Au moment de la publication, moins de la moitié de toutes les installations d’Elementor sont sur la version 3.1.x, donc des millions de sites Web sont toujours vulnérables. Wordfence a confirmé ce matin qu’il ne signale actuellement aucun exploit actif contre ces vulnérabilités.

« En raison des autorisations requises, nous nous attendons à ce qu’il soit principalement utilisé pour des attaques ciblées plutôt que pour une tentative généralisée », a déclaré Ram Gall, chercheur en sécurité chez Wordfence. «Cela dit, il sera probablement utilisé pour l’escalade de privilèges une fois qu’un attaquant a pu mettre un pied dans la porte, plutôt qu’une chaîne complète d’exploits du début à la fin. Cela sera plus important pour les sites avec de nombreux contributeurs ou utilisateurs auteurs car cela signifie une surface d’attaque plus large. La principale raison de cette préoccupation est le grand nombre d’installations. « 

Gall, qui a découvert les vulnérabilités, a décrit un scénario dans lequel elles peuvent être le plus facilement exploitées. Un contributeur sur le site réutilise un mot de passe de violation de données. L’attaquant trouve ce mot de passe, se connecte et ajoute une publication avec un code malveillant. L’administrateur voit la publication du contributeur dans l’admin. Lorsque vous visitez cet article, il exécutera le JavaScript malveillant dans le navigateur qui, selon Gall, pourrait infecter le site avec de nouveaux comptes d’administrateur ou du code malveillants pour prendre le contrôle du site.

Hormis une brève mention dans le journal des modifications, Elementor n’a pas alerté ses utilisateurs des problèmes de sécurité sur le blog du produit ou les comptes de médias sociaux:

  • Correction: options autorisées renforcées dans l’éditeur pour appliquer de meilleures directives de sécurité
  • Correction: supprimé html Option dans le module lightbox pour éviter les problèmes de sécurité

«Elementor a été très réactif au début, même s’il ne nous a pas tenus informés des correctifs après le rapport initial», a déclaré Kathy Zant, représentante de Wordfence. «Un contact de sécurité est répertorié sur leur site Web, ce qui est toujours utile. Souvent, les chercheurs en sécurité ont du mal à trouver et à contacter la bonne personne avec qui partager des preuves de vulnérabilités. C’est pourquoi nous sommes toujours reconnaissants de pouvoir entamer ces discussions sans aucun problème. « 

La dernière version 3.1.4 contient les correctifs pour ces vulnérabilités ainsi que des correctifs pour d’autres bogues mineurs dans le plug-in. Il est conseillé aux utilisateurs d’Elementor de mettre à niveau dès que possible pour éviter d’utiliser les vulnérabilités de reprise de site.



Source link

Recent Posts