Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Les chercheurs ont découvert des vulnérabilités dans plusieurs plugins WordPress qui, si elles sont exploitées avec succès, pourraient permettre à un attaquant d’exécuter du code arbitraire dans certains scénarios et de prendre le contrôle d’un site Web.

Les lacunes ont été révélées Elementor, un plug-in de création de site Web utilisé sur plus de sept millions de sites Web, et Super cache WP, un outil pour servir les pages mises en cache d’un site WordPress.

Selon Wordfence, qui a découvert les vulnérabilités dans Elementor, le bogue affecte un certain nombre de script intersite stocké (XSS) Vulnérabilités (score CVSS: 6,4) qui se produisent lorsqu’un script malveillant est injecté directement dans une application Web vulnérable.

Auditeur de mot de passe

Dans ce cas, un acteur défaillant en raison d’un manque de validation des balises HTML côté serveur peut exploiter les problèmes pour ajouter du JavaScript exécutable à un article ou une page via une requête spécialement conçue.

«Étant donné que les articles des contributeurs sont généralement examinés par les éditeurs ou les administrateurs avant leur publication, tout JavaScript ajouté à l’un de ces articles est exécuté dans le navigateur du réviseur», a déclaré Wordfence m’a dit dans une description technique. « Si un administrateur a examiné un message avec du JavaScript malveillant, sa session authentifiée avec des autorisations générales peut être utilisée pour créer un nouvel administrateur malveillant ou ajouter une porte dérobée au site. Une attaque sur cette vulnérabilité pourrait entraîner la prise de contrôle du site. »

Plusieurs éléments HTML tels que l’en-tête, la colonne, l’accordéon, la zone de symboles et la zone d’image ont été classés comme vulnérables à l’attaque XSS enregistrée, de sorte que tout utilisateur peut accéder à l’éditeur Elementor et ajouter un exécutable JavaScript.

Étant donné que les bogues exploitent le fait que les données dynamiques saisies dans un modèle peuvent être utilisées pour inclure des scripts malveillants conçus pour lancer des attaques XSS, un tel comportement peut être contrecarré en examinant l’entrée et en masquant les données de sortie afin que les balises HTML soient transmises en tant qu’entrées. rendu inoffensif.

Auditeur de mot de passe

Par ailleurs, une vulnérabilité d’exécution de code à distance authentifiée (RCE) existait découvert dans WP Super Cache, qui pourrait permettre à un adversaire de télécharger et d’exécuter du code malveillant afin de prendre le contrôle du site. Le plugin serait utilisé sur plus de deux millions de sites WordPress.

Après une divulgation responsable le 23 février, Elementor a résolu les problèmes de la version 3.1.4, publiée le 8 mars, en resserrant « les options autorisées dans l’éditeur pour appliquer de meilleures directives de sécurité ». Automattic, le développeur de WP Super Cache, a également déclaré avoir abordé le « RCE authentifié sur la page des paramètres » dans la version 1.7.2.

Il est fortement recommandé aux utilisateurs des plugins de mettre à jour les dernières versions pour réduire le risque de bogues.





Source link

Recent Posts