Les chercheurs en sécurité de Wordfence ont découvert une vulnérabilité sur des sites construits avec Elementor. L’exploit est un type désigné comme une vulnérabilité XSS (Stored Cross-site Scripting). Il a le potentiel de permettre aux attaquants de prendre le contrôle d’un site Web.
Vulnérabilité inter-sites stockée
Cross Site Scripting (XSS) est un type de vulnérabilité dans lequel un attaquant télécharge un script malveillant qui sera ensuite exécuté par toute personne visitant la page Web où le script est affiché dans le navigateur.
Le script peut faire un certain nombre de choses comme voler des cookies, des identifiants de mot de passe, etc.
Publicité
Continuer la lecture ci-dessous
Cette version particulière de l’exploit XSS est appelée vulnérabilité Stored Cross Site Scripting car elle est stockée sur le site Web lui-même.
L’autre type de XSS est appelé un Cross Site Scripting réfléchi, qui dépend du clic sur un lien (comme par le biais d’un e-mail).
Les scripts intersites stockés ont le plus grand potentiel de nuire car ils peuvent attaquer n’importe quel visiteur d’une page Web.
Exploit XSS Elementor stocké
La vulnérabilité XSS stockée affectant Elementor peut être utilisée pour voler les informations d’identification de l’administrateur. L’attaquant doit cependant d’abord obtenir un rôle d’utilisateur WordPress de niveau publication, même le niveau de Contributeur le plus bas peut initier l’attaque.
Le rôle WordPress de niveau contributeur est un faible niveau d’utilisateur enregistré qui peut lire, publier, modifier et supprimer ses propres articles sur un site Web. Ils ne peuvent cependant pas télécharger des fichiers multimédias comme des images.
Publicité
Continuer la lecture ci-dessous
Fonctionnement de l’attaque de vulnérabilité Elementor
La vulnérabilité exploite une faille qui permet à un attaquant de télécharger un script malveillant dans l’écran d’édition.
L’échappatoire existait dans six composants Elementor:
- Accordéon
- Boîte à icônes
- Boîte d’image
- Titre
- Diviseur
- Colonne
Wordfence a expliqué comment les attaquants exploitent ces composants:
«Beaucoup de ces éléments offrent la possibilité de définir une balise HTML pour le contenu à l’intérieur. Par exemple, l’élément «En-tête» peut être configuré pour utiliser les balises H1, H2, H3, etc. afin d’appliquer différentes tailles d’en-tête via le paramètre header_size.
Malheureusement, pour six de ces éléments, les balises HTML n’étaient pas validées côté serveur, il était donc possible pour tout utilisateur capable d’accéder à l’éditeur Elementor, y compris les contributeurs, d’utiliser cette option pour ajouter du JavaScript exécutable à un article ou une page via une demande élaborée. »
Une fois le script téléchargé, tout visiteur de la page Web, même si c’est l’éditeur qui prévisualise la page avant la publication, peut exécuter le code dans le navigateur et rendre sa session authentifiée accessible à l’attaquant.
Mettre à jour Elementor maintenant
Il est recommandé par Wordfence que tous les utilisateurs d’Elementor mettent à jour leur version au moins à 3.1.4 (par Wordfence) bien que le changement de configuration officiel d’Elementor Pro indique qu’il existe un correctif de sécurité.
Un journal des modifications est l’enregistrement officiel d’un développeur de logiciel des modifications apportées à chaque version du logiciel.
Il peut être prudent de mettre à jour vers la toute dernière version disponible, car Elementor Pro 3.2.0 corrige un problème de sécurité:
« Options nettoyées dans l’éditeur pour appliquer de meilleures politiques de sécurité »
Citations
Annonce officielle de Wordfence:
Les vulnérabilités des scripts intersites dans Elementor ont un impact sur plus de 7 millions de sites
Publicité
Continuer la lecture ci-dessous
Journal des modifications Elementor Pro