Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient.
Trois vulnérabilités corrigées par Brainstorm Force en mars 2021
Voici une liste de trois exploits distincts liés à leurs plugins Elementor que Brainstorm Force a corrigés en mars 2021:
- Version 1.30.0 – Corrigé – 30 mars 2021
Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. - Version 4.1.7 – Mise à jour importante 09 mars 2021
Vulnérabilité corrigée – Patch final - Version 4.1.6 – Mise à jour importante 08 mars 2021
Vulnérabilité corrigée – Widget d’inscription
Publicité
Continuer la lecture ci-dessous
Vulnérabilités du plugin Brainstorm Force Elementor
Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient.
Les deux plugins concernés sont des addons pour le populaire plugin de création de page Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder.
Les plugins addons avec des vulnérabilités sont publiés par un tiers, Brainstorm Force.
Les plugins concernés pour Elementor sont:
- Compléments ultimes pour Elementor
- Elementor – Modèle d’en-tête, de pied de page et de blocs
Publicité
Continuer la lecture ci-dessous
Un e-mail envoyé par Brainstorm Force indiquait qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.
Selon l’email:
«Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence.
Celles-ci sont très similaires à celles que l’équipe Elementor a récemment corrigées dans sa version 3.1.2. »
Capture d’écran de l’e-mail Brainstorm Force
La vulnérabilité Elementor référencée par Brainstorm Force est connue sous le nom de vulnérabilité de script intersite stocké, une vulnérabilité qui permettait à des pirates malveillants d’organiser une prise de contrôle complète du site.
(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)
Vulnérabilité des scripts intersites stockés
Brainstorm Force n’a pas dit explicitement que l’exploit corrigé était une vulnérabilité de script intersite stockée. Ils ont seulement comparé l’exploit corrigé à celui qui avait été corrigé par le logiciel de création de pages Elementor.
Une vulnérabilité de script intersite stocké est une vulnérabilité dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelée Reflected XSS qui dépend du clic sur un lien.
Publicité
Continuer la lecture ci-dessous
Avec une vulnérabilité XSS stockée, il n’est pas nécessaire de cliquer sur un lien, la vulnérabilité existe sur le site Web affecté.
Wordfence n’a pas publié de détails
Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor.
Mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de leurs plugins étaient des exploits Stored XSS. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.
Versions fixes des addons Elementor
The Elementor – Modèle d’en-tête, de pied de page et de blocs
Le modèle Elementor – Header, Footer & Blocks a été mis à jour le 31 mars 2021 vers la version 1.5.8.
Selon le journal des modifications qui documente ce que contiennent les mises à jour, cette mise à jour l’a renforcé contre une vulnérabilité.
Publicité
Continuer la lecture ci-dessous
Voici ce que le changelog a documenté:
«1.5.8
Correction: options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »
Le fait que l’éditeur ait eu besoin de durcissement donne un indice cette suggère que la vulnérabilité peut être celle qui exige qu’un pirate ait des privilèges de niveau abonné.
Mais cela n’a pas encore été officiellement confirmé pour le moment.
Compléments ultimes pour Elementor
Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.
La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – Header, Footer & Blocks Template.
Selon le journal des modifications Ultimate Addons for Elementor:
« Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »
Mettre à jour immédiatement
Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.
Publicité
Continuer la lecture ci-dessous
Les dernières versions corrigées du logiciel sont:
- The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
- Compléments ultimes pour Elementor 1.30.0