Le développeur d’un plugin WordPress populaire a mis à jour son produit pour corriger une vulnérabilité critique qui pourrait être exploitée pour modifier l’apparence des sites Web. Elementor est commercialisé comme une plate-forme de création de sites Web de premier plan pour WordPress, permettant à plus de cinq millions d’utilisateurs de créer facilement des sites Web pour eux-mêmes ou pour leur entreprise sans écrire de code. Cependant, la semaine dernière, des chercheurs de la société de sécurité Plugin Vulnerabilities ont découvert une activité suspecte liée au plugin.
« Nous n’avons trouvé aucune vulnérabilité récemment divulguée qui devrait expliquer cela, nous avons donc commencé à effectuer nos vérifications standard dans une situation où un pirate informatique pourrait exploiter une vulnérabilité non corrigée dans un plugin », a expliqué la société. « Ce que nous avons immédiatement découvert, c’est que le plugin ne gère pas correctement la sécurité de base, car nous avons trouvé de nombreuses fonctionnalités où les vérifications de capacités manquaient là où elles ne devraient pas. Alors que certains d’entre eux n’étaient pas accessibles aux utilisateurs qui ne devraient pas y avoir accès, nous en avons trouvé au moins un qui l’est et la fonctionnalité accessible conduit à l’un des types de vulnérabilités les plus graves, l’exécution de code à distance (RCE).
Il s’est avéré que le bogue a été introduit dans la version 3.6.0 du plugin, publiée le 22 mars, ce qui signifie qu’environ 1,5 million d’utilisateurs ont été touchés.
La vulnérabilité peut être exploitée par des attaquants authentifiés ayant accès au tableau de bord d’administration de WordPress, mais il est possible qu’elle puisse également être utilisée par des acteurs malveillants non connectés, a averti Plugin Vulnerabilities. Il semble permettre aux attaquants de modifier complètement l’apparence d’un site ciblé en modifiant des éléments, notamment le nom, le logo, les images et le thème. Heureusement, Elementor a maintenant publié la version 3.
6.3 pour résoudre le problème, que les utilisateurs sont invités à télécharger. Plugin Vulnerabilities a publié une preuve de concept, rendant les correctifs plus urgents.
Le PDG de K2 Cyber Security, Pravin Madhani, a déclaré que les organisations exploitant des sites WordPress doivent renforcer la sécurité. « WordPress alimente jusqu’à un tiers de tous les sites Web sur Internet, y compris certains des sites les plus fréquentés et un grand pourcentage de sites de commerce électronique, alors pourquoi ne sont-ils pas mieux équipés pour se protéger contre les attaques ? » il s’est disputé. « Pour une protection maximale, les organisations utilisant WordPress doivent s’assurer qu’elles utilisent la sécurité en profondeur, y compris la sécurité au niveau des applications, du réseau et du système.
Enfin, la chose la plus simple qu’une organisation puisse faire pour aider à réduire les vulnérabilités est de maintenir son code à jour et corrigé.