Sélectionner une page


Les chercheurs en sécurité de Wordfence ont constaté que pratiquement tous les plugins testés qui ajoutent des fonctionnalités à Elementor présentaient une faille de sécurité. De nombreux éditeurs de plugins contactés ont mis à jour leurs plugins mais tous n’ont pas répondu, y compris les plugins premium.

Le plugin Elementor Page Builder lui-même correction d’une vulnérabilité similaire en février 2021.

Cette vulnérabilité affecte les plugins complémentaires pour Elementor qui ont été créés par un tiers.

La publicité

Lisez ci-dessous

Selon Wordfence:

« Nous avons trouvé les mêmes vulnérabilités dans presque tous les plugins que nous avons examinés et qui ajoutent des éléments supplémentaires au constructeur de pages Elementor. »

Il semble donc que cette vulnérabilité soit assez répandue dans les plugins tiers qui sont des add-ons à Elementor

Vulnérabilité des scripts intersites enregistrés

Une vulnérabilité de script intersite enregistrée est particulièrement problématique car le script malveillant est téléchargé et stocké sur le site Web lui-même. Lorsqu’un utilisateur visite le site Web concerné, le navigateur exécute le script malveillant.

Si la personne visitant le site est connectée et dispose d’un accès de niveau administrateur, le script peut être utilisé pour fournir ce niveau d’accès au pirate informatique et aboutir à une prise de contrôle complète du site.

La publicité

Lisez ci-dessous

Cette vulnérabilité particulière pourrait permettre à un attaquant avec au moins des droits de niveau Contributeur de télécharger un script où un élément (tel qu’un élément d’en-tête) est censé se trouver.

L’attaque est similaire à celle qu’Elementor a corrigée en février 2021.

C’est comme ça Vulnérabilité Elementor est décrit:

« … L’élément » En-tête « peut être défini de telle sorte que les balises H1, H2, H3 etc. soient utilisées afin d’appliquer différentes tailles d’en-tête via le paramètre header_size.

Malheureusement, pour six de ces éléments, les balises HTML n’étaient pas validées côté serveur, donc toute personne ayant accès à l’éditeur Elementor, y compris les contributeurs, pouvait utiliser cette option pour ajouter un JavaScript spécialement conçu à un article ou une page via une enquête JavaScript exécutable. « 

Correction de la liste des meilleurs plugins complémentaires Elementor

La liste suivante des dix-sept plugins concernés pour Elementor est installée sur des millions de sites Web.

Il existe plus d’une centaine de points de terminaison de ces plugins, ce qui signifie qu’il y avait plusieurs vulnérabilités dans chacun des plugins où un attaquant pourrait télécharger un fichier JavaScript malveillant.

La liste suivante n’est qu’une liste partielle.

Si votre plugin tiers qui ajoute des fonctionnalités à Elementor n’est pas répertorié, assurez-vous de vérifier auprès de l’éditeur pour voir s’il a été examiné pour voir s’il contient également cette vulnérabilité.

La publicité

Lisez ci-dessous

Liste des 17 meilleurs plugins Elementor patchés

  1. Addons essentiels pour Elementor
  2. Elementor – modèle d’en-tête, de pied de page et de bloc
  3. Compléments ultimes pour Elementor
  4. Addons premium pour Elementor
  5. ElementsKit
  6. Éléments d’addon Elementor
  7. Addons Livemesh pour Elementor
  8. HT Mega – Compléments absolus pour Elementor Page Builder
  9. WooLentor – Compléments WooCommerce Elementor + Builder
  10. Addons PowerPack pour Elementor
  11. Effets de survol d’image – Addon Elementor
  12. Extensions et modèles Rife Elementor
  13. Les modules complémentaires pour Elementor Page Builder Lite
  14. Compléments tout-en-un pour Elementor – WidgetKit
  15. JetWidgets pour Elementor
  16. Extension Sina pour Elementor
  17. DethemeKit pour Elementor

Que faire lors de l’utilisation d’un plugin Elementor

Les éditeurs utilisant des plugins tiers pour Elementor doivent s’assurer que ces plugins ont été mis à jour pour remédier à cette vulnérabilité.

Bien que cette vulnérabilité nécessite au moins un accès de niveau contributeur, un pirate informatique ciblant spécifiquement un site Web pourrait utiliser diverses attaques ou stratégies pour obtenir ces informations d’identification, y compris l’ingénierie sociale.

La publicité

Lisez ci-dessous

Selon Wordfence:

« Il peut être plus facile pour un attaquant d’accéder à un compte de contributeur que d’obtenir des informations d’identification d’administrateur. Une vulnérabilité de ce type pourrait être utilisée pour augmenter les autorisations en exécutant JavaScript dans la session de navigateur d’un administrateur. »

Si votre module complémentaire tiers pour Elementor n’a pas été récemment mis à jour pour corriger une vulnérabilité, vous pouvez contacter l’éditeur de ce module d’extension pour voir s’il est sûr.

Citation

Les correctifs actuels secouent l’écosystème Elementor





Source link

Recent Posts