Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Une faille de sécurité critique identifiée dans le plugin WordPress « The Plus Addons for Elementor » pourrait être exploitée pour obtenir les droits d’administrateur d’un site Web. Zero-day a été exploité à l’état sauvage, prévient l’équipe Wordfence de la société de sécurité WordPress Defiant.

Avec plus de 30000 installations, The Plus Addons for Elementor est un plugin premium qui peut être utilisé pour ajouter plusieurs widgets pour le constructeur de sites Web WordPress populaire Elementor.

Le problème identifié, explique Wordfence, réside dans l’un des widgets ajoutés qui peuvent être utilisés pour insérer des formulaires de connexion et d’inscription utilisateur dans les pages Elementor.

Comme la fonctionnalité n’est pas configurée correctement, un attaquant pourrait créer un nouveau compte d’utilisateur administrateur sur le site vulnérable ou même se connecter en tant qu’utilisateur administrateur existant, ont déclaré les chercheurs.

Il est conseillé à tous les utilisateurs du plugin The Plus Addons for Elementor de désactiver et de supprimer le plugin jusqu’à ce qu’un correctif ait été livré pour ce jour zéro. Tous les widgets d’enregistrement ou de connexion ajoutés par le plugin doivent être supprimés et l’enregistrement désactivé sur les sites Web vulnérables.

Les chercheurs notent également que la version gratuite du plugin, à savoir les Plus Addons pour Elementor Lite, n’est pas menacée par la même vulnérabilité. Par conséquent, les utilisateurs devraient passer à la version gratuite à la place jusqu’à ce que la vulnérabilité soit résolue.

«Il convient de noter que cette vulnérabilité peut encore être exploitée si vous n’avez pas de page de connexion ou d’inscription active créée avec le plug-in. Cela signifie que tout site sur lequel ce plugin s’exécute est vulnérable à la compromission », déclare Wordfence.

Les chercheurs notent également que la vulnérabilité existe actuellement activement utilisé. Par conséquent, aucun autre détail sur ce sujet ne sera publié pour le moment.

«Nous pensons que les attaquants ajouteraient des comptes d’utilisateurs avec des noms d’utilisateur comme adresses e-mail enregistrées en fonction de la manière dont la vulnérabilité crée des comptes d’utilisateurs et, dans certains cas, installer un plug-in malveillant appelé wpstaff. Nous vous recommandons vivement de rechercher sur votre site tout utilisateur administratif ou plug-in inattendu que vous n’avez pas installé », conclut Wordfence.

Les chercheurs ont créé une preuve de concept et ont contacté les développeurs du plugin, qui travailleraient sur un correctif.

Lié: De nombreux sites WordPress affectés par des vulnérabilités de sécurité dans le plugin Popup Builder

Lié: Des failles de sécurité dans le plugin NextGEN Gallery ont exposé de nombreux sites WordPress à la prise de contrôle

Lié: Le malware WordPress cible les magasins WooCommerce

Afficher le compteur

Ionut Arghire est correspondant international pour SecurityWeek.

Colonnes précédentes d’Ionut Arghire:
Mots clés:



Source link

Recent Posts