Une vulnérabilité Zero Day a été découverte dans les addons WordPress Plus pour Elementor. L’exploit permet une prise de contrôle complète du site. Les chercheurs en sécurité recommandent de désactiver immédiatement le plugin pour éviter d’être piraté.
L’exploit n’est pas présent dans Elementor lui-même, c’est dans un plugin populaire qui étend Elementor.
Vulnérabilité Zero Day
Une vulnérabilité zero day est une vulnérabilité que les pirates informatiques connaissent mais pour laquelle le développeur du logiciel n’a pas de correctif pour l’arrêter.
Normalement, une vulnérabilité est découverte et le développeur du logiciel a le temps de la corriger avant que la faille ne soit découverte par des pirates.
Publicité
Continuer la lecture ci-dessous
Dans un scénario de vulnérabilité type zéro jour, la faille est connue et est activement exploitée par des pirates pendant que les développeurs de logiciels se précipitent pour découvrir ce qu’est l’exploit.
C’est pourquoi les vulnérabilités zero day sont considérées comme très préoccupantes car les sites Web sont susceptibles d’être piratés entre la découverte de la vulnérabilité et la publication d’un correctif.
Les modules complémentaires pour Elementor Exploit
The Plus Addons for Elementor est une suite de plus d’une centaine de widgets, de modèles et de blocs qui étend les possibilités de conception pour les sites qui utilisent le plugin de création de page Elementor.
Elementor est un plugin de création de page qui étend l’éditeur WordPress natif pour faciliter la création de sites Web attrayants.
La vulnérabilité n’est cependant pas sur Elementor. La vulnérabilité existe sur un plugin qui étend les capacités de conception d’Elementor.
Publicité
Continuer la lecture ci-dessous
Qu’est-ce que les modules complémentaires pour la vulnérabilité Elementor?
Il existe deux types d’addons Plus pour les plugins Elementor. Il existe une version gratuite et une version payante.
La faille n’existe pas dans la version gratuite. Donc, si vous utilisez la version gratuite de l’addon, votre site est en sécurité.
La version payante du plugin n’est pas sûre.
La version payante de Plus Addon est vulnérable
Selon les chercheurs en sécurité de Wordfence, les modules de widgets d’enregistrement et de connexion du plugin sont le vecteur d’attaque.
«Si vous utilisez le plugin The Plus Addons for Elementor, nous vous recommandons fortement de désactiver et de supprimer complètement le plugin jusqu’à ce que cette vulnérabilité soit corrigée. Si la version gratuite suffit à vos besoins, vous pouvez passer à cette version pour le moment.
Si la fonctionnalité de votre site dépend de ce plugin, nous vous recommandons de supprimer complètement tout widget d’inscription ou de connexion ajouté par le plugin et de désactiver l’enregistrement sur votre site. Aucune version corrigée n’est disponible au moment de cette publication. »
Il a été découvert plus tard que la désactivation du widget WP Login & Register ne suffit pas pour éviter d’être piraté.
«… Les vulnérabilités sont toujours exploitables même si le widget« WP Login & Register »est désactivé. Pour cette raison, nous vous recommandons de désactiver et de supprimer temporairement le plug-in jusqu’à ce qu’un correctif soit publié. »
Un correctif est en préparation – mais agissez maintenant
Le développeur du plugin travaille dur pour créer un patch. Un correctif initial a été rapidement publié, mais les chercheurs de WordFence ont confirmé qu’il ne renforçait pas complètement le plugin contre l’exploit.
Agir maintenant
Comme indiqué ci-dessus, Wordfence recommande de désactiver et de supprimer complètement le plugin. S’il y a des fonctions du site qui dépendent du plugin, il est possible d’installer la version gratuite temporairement jusqu’à ce qu’un correctif soit publié.
Il n’est peut-être pas prudent de tenter sa chance et d’attendre un correctif car la faille est activement exploitée.
Citation
Critical 0-day dans The Plus Addons for Elementor permet la reprise de site