Le plugin Elementor WordPress touché par 6 vulnérabilités

Les chercheurs en sécurité ont publié un avis sur six vulnérabilités XSS uniques découvertes dans Elementor Website Builder et sa version Pro qui pourraient permettre aux attaquants d'injecter des scripts malveillants.

Constructeur de site Web Elementor

Elementor est une plateforme leader de création de sites Web avec plus de 5 millions d'installations actives dans le monde, le dépositaire officiel WordPress affirmant qu'il alimente plus de 16 millions de sites Web dans le monde. L'interface glisser-déposer permet à quiconque de créer rapidement des sites Web professionnels tandis que la version Pro étend la plateforme avec des widgets supplémentaires et des fonctionnalités avancées de commerce électronique. Cette popularité a également fait d’Elementor une cible populaire pour les pirates informatiques, ce qui rend ces six vulnérabilités particulièrement préoccupantes.

Six vulnérabilités XSS

Elementor Website Builder et la version Pro contiennent six vulnérabilités XSS (Cross-Site Scripting) différentes. Cinq des vulnérabilités sont dues à une désinfection insuffisante des entrées et des sorties, tandis que l’une d’entre elles est due à une désinfection insuffisante des entrées. La désinfection des entrées est une pratique de codage standard utilisée pour sécuriser les zones d'un plugin qui permettent aux utilisateurs de saisir des données dans un champ de formulaire ou de télécharger des médias. Le processus de désinfection bloque toute entrée non conforme à ce qui est attendu. Une entrée correctement sécurisée pour les données texte doit bloquer les scripts ou le HTML, ce que fait la désinfection des entrées. L'échappement de sortie est le processus de sécurisation de ce que le plugin envoie au navigateur pour l'empêcher d'exposer le navigateur d'un visiteur du site à des scripts non fiables.

Le manuel officiel du développeur WordPress conseille de nettoyer les entrées  :

« La désinfection des données d'entrée est le processus de sécurisation/nettoyage/filtrage des données d'entrée. » Il est important de noter que les six vulnérabilités sont distinctes et totalement indépendantes les unes des autres et résultent spécifiquement d'une sécurité insuffisante de la part d'Elementor. Il est possible que l'un d'entre eux, CVE-2024-2120, affecte à la fois les versions gratuite et professionnelle. J'ai contacté Wordfence pour obtenir des éclaircissements à ce sujet et je mettrai à jour cet article en conséquence après avoir reçu une réponse.

Liste des six vulnérabilités d’Elementor

Voici une liste des six vulnérabilités et des versions qu'elles affectent. Les six vulnérabilités sont classées comme menaces de sécurité de niveau moyen. Les deux premiers de la liste affectent Elementor Website Builder et les quatre suivants affectent la version Pro. Le numéro CVE est une référence à l'entrée officielle dans la base de données Common Vulnerabilities and Exposures qui sert de référence pour les vulnérabilités connues.

    Constructeur de sites Web Elementor (CVE-2024-2117)

    Affecte jusqu'à la version 3.20.2 incluse – Scripts intersites stockés authentifiés basés sur DOM via le widget de chemin

  1. Elementor Website Builder Pro (et peut-être gratuit) (CVE-2024-2120)

    Affecte jusqu'à 3.20.1 inclus – Scripts intersites stockés authentifiés via la post-navigation

  2. Générateur de sites Web Elementor Pro (CVE-2024-1521)

    Affecte jusqu'à la version 3.20.1 incluse – Scripts intersites stockés authentifiés via le téléchargement de fichiers SVGZ du widget de formulaire

    Cette vulnérabilité affecte uniquement les serveurs exécutant des serveurs basés sur NGINX. Les serveurs exécutant Apache HTTP Server ne sont pas affectés

    Générateur de sites Web Elementor Pro (CVE-2024-2121)

    Affecte jusqu'à la version 3.20.1 incluse – Scripts intersites stockés authentifiés via le widget Media Carousel

    Générateur de sites Web Elementor Pro (CVE-2024-1364)

    Affecte jusqu'à la version 3.20.1 incluse – Scripts intersites stockés authentifiés via le custom_id du widget

    Générateur de sites Web Elementor Pro (CVE-2024-2781)

    Affecte jusqu'à la version 3.20.1 incluse – Scripts intersites stockés authentifiés basés sur DOM via video_html_tag

Les six vulnérabilités sont classées comme menaces de sécurité de niveau moyen et nécessitent un niveau d'autorisation de niveau contributeur pour être exécutées.

Journal des modifications du créateur de site Web Elementor

Mais le journal des modifications de la version gratuite ne répertorie qu'un correctif pour le widget Text Path et non pour celui de post-navigation  : « Correctif de sécurité  : amélioration de l'application de la sécurité du code dans le widget de chemin de texte ». Le widget de post-navigation est une fonctionnalité de navigation qui permet aux visiteurs du site de naviguer. au message précédent ou suivant dans une série de messages. Ainsi, bien qu'il soit manquant dans le journal des modifications, il est inclus dans le journal des modifications d'Elementor Pro qui montre qu'il est corrigé dans cette version  :

  • « Correctif de sécurité  : amélioration de l'application de la sécurité du code dans le widget Media Carousel
  • Correctif de sécurité  : amélioration de l'application de la sécurité du code dans le widget Formulaire
  • /li>

  • Correctif de sécurité  : amélioration de l'application de la sécurité du code dans le widget Galerie
  • Correctif de sécurité  : amélioration de l'application de la sécurité du code dans le widget Liste de lecture vidéo »

L'entrée manquante dans le journal des modifications gratuit peut être une erreur d'impression de Wordfence, car l'avis officiel de Wordfence pour CVE-2024-2120 montre une entrée pour « software slug » en tant qu'élémentor-pro.

Plan d'action recommandé

Les utilisateurs des deux versions d'Elementor Website Builder sont encouragés à mettre à jour leur plugin vers la dernière version. Bien que l'exécution de la vulnérabilité nécessite qu'un attaquant acquière des informations d'identification d'autorisation au niveau du contributeur, cela reste dans le domaine des possibilités, surtout si les contributeurs n'ont pas de mots de passe forts.

Lisez les avis officiels de Wordfence  :

Elementor Website Builder – Plus qu'un simple constructeur de pages