La vulnérabilité des plugins élémentaires tiers affecte +1 million


Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient.

Trois vulnérabilités corrigées par Brainstorm Force en mars 2021

Voici une liste de trois exploits distincts liés à leurs plugins Elementor que Brainstorm Force a corrigés en mars 2021:

  • Version 1.30.0 – Corrigé – 30 mars 2021
    Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité.
  • Version 4.1.7 – Mise à jour importante 09 mars 2021
    Vulnérabilité corrigée – Patch final
  • Version 4.1.6 – Mise à jour importante 08 mars 2021
    Vulnérabilité corrigée – Widget d’inscription

Publicité

Continuer la lecture ci-dessous

Vulnérabilités du plugin Brainstorm Force Elementor

Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins. C’est la troisième fois cette année que Brainstorm Force publie une mise à jour pour corriger les vulnérabilités des plugins Elementor qu’ils publient.

Les deux plugins concernés sont des addons pour le populaire plugin de création de page Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder.

Les plugins addons avec des vulnérabilités sont publiés par un tiers, Brainstorm Force.

Les plugins concernés pour Elementor sont:

  • Compléments ultimes pour Elementor
  • Elementor – Modèle d’en-tête, de pied de page et de blocs

Publicité

Continuer la lecture ci-dessous

Un e-mail envoyé par Brainstorm Force indiquait qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.

Selon l’email:

«Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence.

Celles-ci sont très similaires à celles que l’équipe Elementor a récemment corrigées dans sa version 3.1.2. »

Capture d’écran de l’e-mail Brainstorm Force

Capture d'écran de l'e-mail Brainstorm Force

La vulnérabilité Elementor référencée par Brainstorm Force est connue sous le nom de vulnérabilité de script intersite stocké, une vulnérabilité qui permettait à des pirates malveillants d’organiser une prise de contrôle complète du site.

(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)

Vulnérabilité des scripts intersites stockés

Brainstorm Force n’a pas dit explicitement que l’exploit corrigé était une vulnérabilité de script intersite stockée. Ils ont seulement comparé l’exploit corrigé à celui qui avait été corrigé par le logiciel de création de pages Elementor.

Une vulnérabilité de script intersite stocké est une vulnérabilité dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelée Reflected XSS qui dépend du clic sur un lien.

Publicité

Continuer la lecture ci-dessous

Avec une vulnérabilité XSS stockée, il n’est pas nécessaire de cliquer sur un lien, la vulnérabilité existe sur le site Web affecté.

Wordfence n’a pas publié de détails

Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor.

Mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de leurs plugins étaient des exploits Stored XSS. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.

Versions fixes des addons Elementor

The Elementor – Modèle d’en-tête, de pied de page et de blocs

Le modèle Elementor – Header, Footer & Blocks a été mis à jour le 31 mars 2021 vers la version 1.5.8.

Selon le journal des modifications qui documente ce que contiennent les mises à jour, cette mise à jour l’a renforcé contre une vulnérabilité.

Publicité

Continuer la lecture ci-dessous

Voici ce que le changelog a documenté:

«1.5.8
Correction: options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Le fait que l’éditeur ait eu besoin de durcissement donne un indice cette suggère que la vulnérabilité peut être celle qui exige qu’un pirate ait des privilèges de niveau abonné.

Mais cela n’a pas encore été officiellement confirmé pour le moment.

Compléments ultimes pour Elementor

Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.

La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – Header, Footer & Blocks Template.

Selon le journal des modifications Ultimate Addons for Elementor:

« Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Mettre à jour immédiatement

Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.

Publicité

Continuer la lecture ci-dessous

Les dernières versions corrigées du logiciel sont:

  • The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
  • Compléments ultimes pour Elementor 1.30.0

Partager:

Partager sur facebook
Partager sur twitter
Partager sur telegram
Partager sur reddit
Partager sur linkedin
Partager sur pinterest

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles Similaires