Un bogue critique du plugin WordPress laisse des millions de sites ouverts aux attaques

Une nouvelle vulnérabilité dangereuse dans un plugin WordPress populaire a récemment été découverte. Elementor est l’un des plugins les plus populaires pour WordPress, installé sur plus de cinq millions de sites Web. Le plugin a été récemment mis à jour vers la version 3.6.0, qui a introduit, entre autres, un nouveau module d’intégration, dont le but était de simplifier la configuration initiale du plugin. Cependant, les chercheurs ont découvert que le module utilisait une méthode « inhabituelle » pour enregistrer les actions AJAX, sans vérification de capacité.

Exécution de code malveillant

« Il existe plusieurs façons pour un utilisateur authentifié d’obtenir Ajax : : NONCE_KEY, mais l’un des moyens les plus simples consiste à afficher la source du tableau de bord d’administration en tant qu’utilisateur connecté, car il est présent pour tous les utilisateurs authentifiés, même pour les utilisateurs de niveau abonné », expliquent les chercheurs. Par conséquent, tout utilisateur connecté peut utiliser n’importe laquelle des fonctions d’intégration. Cela dit, un attaquant pourrait, par exemple, créer un zip de plugin « Elementor Pro » malveillant, et utiliser les fonctions d’intégration pour l’installer. Le site exécuterait alors tout code présent dans le plugin, y compris le code conçu pour prendre en charge le site, ou accéder à des ressources supplémentaires sur le serveur. Les fonctions pourraient également être utilisées pour défigurer complètement le site, a-t-il été ajouté. La bonne nouvelle est que la faille n’est présente dans aucune des versions d’Elementor antérieures à 3.6.0, et le correctif pour le bogue est déjà disponible. Le 12 avril, l’équipe a publié la version 3.6.3. version du plugin, Wordfence exhortant tous les utilisateurs d’Elementor à mettre à jour leurs plugins dès que possible. Étant l’un des plugins les plus populaires pour WordPress, Elementor est souvent la cible des chasseurs de bogues et des acteurs de la menace. Début février, le chercheur en cybersécurité Wai Yan Muo Thet a découvert une vulnérabilité dans le plugin Essential Addons for Elementor – une exécution critique de code à distance (RCE ) qui permettait à des acteurs malveillants potentiels d’effectuer une attaque par inclusion de fichiers locaux.