Sélectionner une page


Une vulnérabilité zero day a été découverte dans les addons WordPress Plus pour Elementor. L’exploit permet une prise de contrôle complète. Les chercheurs en sécurité recommandent de désactiver le plugin immédiatement pour éviter d’être piraté.

L’exploit n’est pas présent dans Elementor lui-même, mais plutôt dans un plugin populaire qu’Elementor étend.

Vulnérabilité Zero Day

Une vulnérabilité zero-day est une vulnérabilité dont les pirates informatiques sont conscients mais que le développeur du logiciel n’a pas de correctif à arrêter.

En règle générale, une vulnérabilité est découverte et le développeur du logiciel a le temps de la corriger avant que les pirates ne découvrent le problème.

La publicité

Lisez ci-dessous

Dans un scénario de vulnérabilité type zero-day, le bogue est connu et activement exploité par les pirates pendant que les développeurs de logiciels tentent de déterminer l’exploit.

Pour cette raison, les vulnérabilités zero-day sont considérées comme particulièrement préoccupantes, car les sites Web peuvent être facilement piratés entre le moment où la vulnérabilité a été découverte et la publication d’un correctif.

Les plus addons pour Elementor Exploit

Les modules complémentaires Plus pour Elementor sont une suite de plus d’une centaine de widgets, de modèles et de blocs qui élargissent les options de conception des sites Web qui utilisent le plug-in de création de page Elementor.

Elementor est un plugin de création de pages qui étend l’éditeur WordPress natif pour faciliter la création de sites Web attrayants.

Cependant, la vulnérabilité ne réside pas dans Elementor. La vulnérabilité existe dans un plug-in qui étend les capacités de conception d’Elementor.

La publicité

Lisez ci-dessous

Quels sont les modules complémentaires pour la vulnérabilité Elementor?

Il existe deux types d’addons Plus pour les plugins Elementor. Il existe une version gratuite et une version payante.

Le bogue n’existe pas dans la version gratuite. Donc, si vous utilisez la version gratuite de l’addon, votre site sera en sécurité.

La version payante du plugin n’est pas sécurisée.

La version payante de Plus Addon est vulnérable

Selon les chercheurs en sécurité de Wordfence, les modules de widgets d’enregistrement et de connexion du plugin sont le vecteur d’attaque.

«Si vous utilisez le plug-in Plus Addons for Elementor, nous vous recommandons vivement de désactiver et de supprimer complètement le plug-in jusqu’à ce que cette vulnérabilité soit résolue. Si la version gratuite est suffisante pour vos besoins, vous pouvez passer à cette version pour le moment.

Si la fonctionnalité de votre site dépend de ce plugin, nous vous recommandons de supprimer complètement les widgets d’inscription ou de connexion ajoutés par le plugin et de désactiver l’inscription sur votre site. Une version corrigée n’est pas disponible au moment de la rédaction de cet article. « 

Il a été découvert plus tard que la désactivation du widget WP Login & Register n’était pas suffisante pour empêcher le piratage.

« … Les failles de sécurité peuvent encore être exploitées si le widget » WP Login & Register « est désactivé. Pour cette raison, nous vous recommandons de désactiver et de supprimer temporairement le plugin jusqu’à ce qu’un correctif soit publié. « 

Un patch est en préparation – mais agissez maintenant

Le développeur du plugin travaille dur pour créer un patch. Un premier patch a été publié rapidement, mais les chercheurs de WordFence ont confirmé que le plugin n’était pas complètement renforcé contre l’exploit.

Agir maintenant

Comme mentionné ci-dessus, Wordfence recommande de désactiver et de supprimer complètement le plugin. S’il existe des fonctionnalités du site qui dépendent du plugin, la version gratuite peut être temporairement installée jusqu’à ce qu’un correctif soit publié.

Il n’est peut-être pas sage de prendre un risque et d’attendre un correctif car le bogue est activement exploité.

Citation

La balise 0 critique dans les modules complémentaires Plus pour Elementor permet la prise en charge de l’emplacement





Source link

Recent Posts