La vulnérabilité des plugins élémentaires tiers affecte +1 million

  • Trois vulnérabilités corrigées par Brainstorm Force en mars 2021
  • Vulnérabilités du plugin Brainstorm Force Elementor
  • Vulnérabilité des scripts intersites stockés
  • Wordfence n’a pas publié de détails
  • Versions fixes des addons Elementor
  • Mettre à jour immédiatement
  • Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient.

    Trois vulnérabilités corrigées par Brainstorm Force en mars 2021

    Voici une liste de trois exploits distincts liés à leurs plugins Elementor que Brainstorm Force a corrigés en mars 2021:

    • Version 1.30.0 – Corrigé – 30 mars 2021

      Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité

    • Version 4.1.7 – Mise à jour importante 09 mars 2021

      Vulnérabilité corrigée – Patch final

    • Version 4.1.6 – Mise à jour importante 08 mars 2021

      Vulnérabilité corrigée – Widget d’inscription

    • Vulnérabilités du plugin Brainstorm Force Elementor

      Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient. Les deux plugins concernés sont des addons pour le populaire plugin de création de pages Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder. Les plugins addons avec des vulnérabilités sont publiés par un tiers, Brainstorm Force.Les plugins concernés pour Elementor sont:

      • Compléments ultimes pour Elementor
      • Elementor – Modèle d’en-tête, de pied de page et de blocs

      Un e-mail envoyé par Brainstorm Force indiquait qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.Selon l’email:« Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence. Elles sont très similaires à celles que l’équipe Elementor a récemment corrigées dans leur version 3.1.2. »

      Capture d’écran de l’e-mail Brainstorm Force

      La vulnérabilité Elementor référencée par Brainstorm Force est connue sous le nom de vulnérabilité de script intersite stocké, une vulnérabilité qui permettait à des pirates malveillants d’organiser une prise de contrôle complète du site.(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)

      Vulnérabilité des scripts intersites stockés

      Brainstorm Force n’a pas dit explicitement que l’exploit corrigé était une vulnérabilité de script intersite stockée. Ils ont seulement comparé l’exploit corrigé à celui qui avait été corrigé par le logiciel de création de pages Elementor.Une vulnérabilité de script intersite stocké est celle dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelée Reflected XSS qui dépend d’un lien sur lequel l’utilisateur clique. cliqué, la vulnérabilité existe sur le site Web concerné.

      Wordfence n’a pas publié de détails

      Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor, mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de ses plugins étaient des exploits XSS stockés. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.

      Versions fixes des addons Elementor

      The Elementor – Modèle d’en-tête, de pied de page et de blocs

      Le modèle Elementor – Header, Footer & Blocks a été mis à jour le 31 mars 2021 vers la version 1.5.8.Selon le journal des modifications qui documente ce que contiennent les mises à jour, cette mise à jour l’a renforcée contre une vulnérabilité.Voici ce que le changelog a documenté: « 1.5.8

      Correctif: Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. « Le fait que l’éditeur avait besoin de durcissement donne un indice qui suggère que la vulnérabilité peut être une vulnérabilité qui nécessite qu’un pirate ait des privilèges de niveau abonné. confirmé à ce moment.

      Compléments ultimes pour Elementor

      Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – Header, Footer & Blocks Template.Selon le journal des modifications Ultimate Addons for Elementor:« Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

      Mettre à jour immédiatement

      Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.Les dernières versions corrigées du logiciel sont:

      • The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
      • Compléments ultimes pour Elementor 1.30.0