Sélectionner une page


Les chercheurs de WordFence ont découvert une faille de sécurité dans les thèmes Divi Elegant Themes et Extra ainsi que dans le plugin Divi Builder. La vulnérabilité pourrait permettre à un attaquant de s’emparer complètement d’un site.

Le plugin Divi Builder est un plugin autonome qui permet à un utilisateur d’utiliser la fonctionnalité Divi Builder pour n’importe quel thème tiers.

Thèmes élégants La fonctionnalité de création est intégrée aux thèmes Divi et Extra.

La vulnérabilité résultait d’un bogue découvert dans la fonctionnalité de générateur des trois produits.

Quelle est la vulnérabilité de sécurité liée aux thèmes élégants?

L’exploit Elegant Themes exploite une vulnérabilité dans une fonctionnalité de Divi qui permet à un utilisateur disposant de droits de publication ou d’édition de télécharger des fichiers malveillants. Un attaquant devrait d’abord compromettre un utilisateur enregistré avec ces niveaux de privilèges pour lancer l’attaque.

La vulnérabilité affecte la fonctionnalité de portabilité de Divi. Cette fonctionnalité permet à un utilisateur disposant d’informations d’identification de niveau éditeur, contributeur ou auteur d’importer ou d’exporter des modèles de page.

C’est cette fonctionnalité qui manque d’une vérification spécifique qui permet à un attaquant malveillant de télécharger des fichiers PHP qui peuvent ensuite être utilisés pour prendre en charge un site entier.

WordFence Description de la vulnérabilité

WordFence propose un plugin de sécurité WordPress qui protège contre les problèmes de sécurité. Leur service comprend le test des plugins WordPress pour trouver des vulnérabilités.

Les utilisateurs de leur plugin premium sont protégés des problèmes de sécurité dès qu’ils sont découverts.

WordFence décrit comment la vulnérabilité a affecté les sites Web:

«Ce bogue a permis aux attaquants authentifiés de contourner facilement la vérification JavaScript côté client et de télécharger des fichiers PHP malveillants sur un site Web cible. Un attaquant pourrait facilement utiliser un fichier malveillant téléchargé via cette méthode pour prendre complètement le contrôle d’un site. « 

La publicité

Lisez ci-dessous

Explication élégante du sujet de la vulnérabilité

Bien que l’annonce des thèmes élégants sur « utilisateurs indignes de confianceCette attaque peut compromettre les utilisateurs de confiance avec un mot de passe faible ou compromettre autrement leurs comptes.

Capture d’écran du journal des modifications Elegant Themes

Capture d'écran du journal des modifications pour des thèmes élégantsCapture d’écran de la description du journal des modifications d’Elegant Themes pour la vulnérabilité dans le plugin WordPress Divi, Extra et Divi Builder

Selon des thèmes élégants:

«Tout site Web avec des utilisateurs potentiellement peu fiables qui ont accès au Builder avec Divi version 3.0 et supérieure, Extra 2.0 et supérieur, ou Divi Builder version 2.0 et supérieure est affecté et doit être mis à jour vers les dernières versions du produit.

Les versions 4.5.3 du produit contiennent le correctif de sécurité. « 

La publicité

Lisez ci-dessous

Patch de sécurité pour les produits concernés avec des thèmes élégants

La vulnérabilité a été découverte par des chercheurs de WordFence le 23 juillet 2020. Le correctif de sécurité a été testé et finalement publié le 3 août 2020.

Mettre à jour le plugin Divi, Extra et Divi Builder

Tous les éditeurs sont invités à mettre immédiatement à jour leurs thèmes Divi et Extra vers la version 4.5.3. Les éditeurs disposant du plugin autonome Divi Builder devraient également le mettre à jour.

Devis

WordFence
Une vulnérabilité critique expose plus de 700000 sites Web Divi, Extra et Divi Builder

Annonce par e-mail à thème élégant





Source link

Recent Posts