Aujourd’hui, 8 mars 2021, l’équipe de Wordfence Threat Intelligence a pris connaissance d’un 0-day critique Les modules complémentaires pour Elementor, un plugin premium qui, selon nous, compte plus de 30 000 installations. Cette vulnérabilité était rapporté ce matin à WPScan par Seravo, une société d’hébergement. La faille permet aux attaquants de créer de nouveaux comptes utilisateurs administratifs sur des sites vulnérables, si l’enregistrement des utilisateurs est activé.

Les modules complémentaires pour Elementor Lite, la version gratuite du même développeur, ne semble pas vulnérable à cet exploit.

Les clients Wordfence Premium ont reçu une règle le 8 mars 2021 pour se protéger contre l’exploitation active de cette vulnérabilité. Les utilisateurs de Wordfence qui utilisent toujours la version gratuite recevront une protection le 7 avril 2021.

Si vous utilisez le plugin The Plus Addons for Elementor, nous vous recommandons fortement de désactiver et de supprimer complètement le plugin jusqu’à ce que cette vulnérabilité soit corrigée. Si la version gratuite suffit à vos besoins, vous pouvez passer à cette version pour le moment. Si la fonctionnalité de votre site dépend de ce plugin, nous vous recommandons de désactiver l’enregistrement des utilisateurs sur votre site. Aucune version corrigée n’est disponible au moment de cette publication.

Description: Escalade de privilèges
Plugin concerné: Les modules complémentaires pour Elementor
Plugin Slug: theplus_elementor_addon
Versions affectées:
ID CVE: 2021-24175
Score CVSS: 9.8 (critique)
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H
Version entièrement corrigée: Actuellement non corrigé.

Le plugin `The Plus Addons for Elementor` est conçu pour ajouter plusieurs widgets supplémentaires à utiliser avec Elementor. L’un de ces widgets a ajouté la possibilité d’ajouter un formulaire de connexion et d’inscription utilisateur à une page Elementor. Malheureusement, cette fonctionnalité était mal configurée et permettait aux attaquants de s’enregistrer en tant qu’utilisateurs administrateurs.

Il est à noter que cette vulnérabilité ne peut être exploitée que si l’enregistrement des utilisateurs est activé sur votre site, et si vous avez une page de connexion ou d’inscription active créée avec le plugin `The Plus Addons for Elementor`.

Pour le moment, nous publions des détails très minimes car il s’agit d’une vulnérabilité activement exploitée. Nous pouvons décider de publier plus de détails à l’avenir, mais en attendant, nous vous recommandons de prendre les mesures appropriées pour sécuriser votre site.

Indicateurs de compromis

À l’heure actuelle, nous avons des indicateurs de compromis très limités. Cependant, nous pensons que les attaquants ajoutent des comptes d’utilisateurs avec des noms d’utilisateur comme adresse e-mail enregistrée en fonction de la façon dont la vulnérabilité crée des comptes d’utilisateurs et installent potentiellement un plugin malveillant. Nous vous recommandons vivement de vérifier votre site pour tout utilisateur administratif inattendu ou plug-in que vous n’avez pas installé.

Nous mettrons à jour cette section au fur et à mesure que nous en apprendrons plus.

Chronologie de la réponse

8 mars 2021 08h55 UTC – Nouvelle entrée de vulnérabilité dans WPScan rapportant une vulnérabilité de 0 jour dans le plugin The Plus Addons for Elementor.
8 mars 2021 13h32 UTC – Wordfence Threat Intelligence est alerté du nouveau rapport de vulnérabilité et commence à trier la vulnérabilité.
8 mars 2021 14h08 UTC – Nous vérifions l’existence de la vulnérabilité et créons une preuve de concept.
8 mars 2021 14h20 UTC – Nous créons et commençons à tester une règle de pare-feu pour se protéger contre la vulnérabilité.
8 mars 2021 14h25 UTC – Nous contactons le développeur du plugin pour nous assurer qu’il est conscient de la vulnérabilité et nous proposons de fournir des détails si nécessaire.
8 mars 2021 14h50 UTC – La règle de pare-feu est déployée auprès des utilisateurs premium.
7 avril 2021 – Les utilisateurs de Wordfence Free reçoivent la règle de pare-feu.

Conclusion

Dans l’article d’aujourd’hui, nous avons détaillé une vulnérabilité zero-day activement exploitée dans The Plus Addons for Elementor, un plugin qui permet aux attaquants non authentifiés d’élever leurs privilèges sur une installation WordPress vulnérable. Cela peut être utilisé pour reprendre complètement un site WordPress. Cette vulnérabilité reste actuellement non corrigée ce matin et, par conséquent, nous vous recommandons fortement de désactiver et de supprimer le plugin jusqu’à ce qu’un correctif soit publié.

Wordfence Premium les clients ont reçu une règle le 8 mars 2021 pour se protéger contre l’exploitation active de cette vulnérabilité. Les utilisateurs de Wordfence qui utilisent toujours la version gratuite recevront une protection le 7 avril 2021.

Veuillez transmettre et partager largement ce message afin que ceux qui utilisent ce plugin vulnérable puissent prendre des mesures rapides pour protéger leurs sites, car cette vulnérabilité zero-day est actuellement exploitée dans la nature.

Remerciements particuliers à Ramuel Gall, analyste des menaces de Wordfence et ingénieur QA, et Kathy Zant, directrice du marketing de Wordfence, pour leurs contributions à ce poste et à la recherche sur la vulnérabilité.


Source link