Sélectionner une page


  • Un grand nombre de sites Web utilisant différents plugins «Elementor» sont sujets aux erreurs XSS.
  • Les attaques ne sont pas à grande échelle, mais peuvent causer de gros dégâts à certaines cibles.
  • La mise à jour de vos plugins ‘Elementor’ avec la dernière version disponible éliminera les risques encourus.

Une équipe de recherche de Wordfence met en garde contre un certain nombre de 17 plugins «  Elementor  » qui sont vulnérables aux vulnérabilités de sécurité récemment annoncées plus de 3,5 millions de sites Web. Les bogues permettent à tout utilisateur d’accéder à des composants qui devraient être hors de leur portée – comme l’éditeur Elementor – et d’ajouter des extraits de code JavaScript aux articles.

Chaque fois que ce message est consulté, modifié ou prévisualisé par un autre utilisateur du site, l’extrait de code sera exécuté. Si le code est conçu de manière malveillante, les chances sont élevées que vous puissiez obtenir un accès administratif au site.

Les plugins suivants sont sujets à ces erreurs de script intersite:

  • Modules complémentaires importants pour Elementor – avant la version 4.5.4 1 million d’installations
  • Elementor – Modèle d’en-tête, de pied de page et de blocs – avant la version 1.5.8, 1 million d’installations
  • Addons ultimes pour Elementor – avant la v1.30.0, installations 600k
  • Addons Premium pour Elementor – avant la v4.2.8, installations 400k
  • ElementsKit – avant les installations v2.2.0 300k
  • Elementor Addon Elements – avant la v1.11.2, 100 000 installations
  • Addons Livemesh pour Elementor – avant la v6.8, 100000 installations
  • HT Mega – Compléments absolus pour Elementor Page Builder – avant la v1.5.7, installations 70k
  • WooLentor – WooCommerce Elementor Addons + Builder – avant la v1.8.6, 50000 installations
  • Addons PowerPack pour Elementor – avant la v2.3.2, 50000 installations
  • Effets de survol d’image – Elementor Addon – avant v1.3.4, installations 40k
  • Extensions et modèles Rife Elementor – avant la v1.1.6, 30k installations
  • Les addons Plus pour Elementor Page Builder Lite – avant v2.0.6, installations 30k
  • Addons tout-en-un pour Elementor – WidgetKit – avant la v2.3.10, 20000 installations
  • JetWidgets pour Elementor – avant v1.0.9, installations 10k
  • Extension Sina pour Elementor – avant la v3.3.12, installations 10k
  • DethemeKit pour Elementor – avant v1.5.5.5, installations 8k

Si vous gérez un site Web avec l’un des plugins ci-dessus, vous devrez mettre à jour vers la dernière version disponible pour éviter de mauvaises surprises XSS pour vous ou vos contributeurs. N’oubliez pas que les attaques sont basées sur une élévation de privilèges. En tant que tel, il est possible que votre site Web puisse être repris et supprimé simplement parce que vous avez exécuté un plugin Elementor vulnérable.

Si vous êtes un développeur qui publie des plugins pour étendre les fonctionnalités d’Elementor, vous devez également examiner votre code et vérifier la base que vous avez utilisée pour détecter tout bogue pertinent. Bien que ces vulnérabilités ne soient pas largement exploitées, ce sont d’excellents outils pour les acteurs ciblés.



Source link

Recent Posts