Au cours des dernières semaines, l’équipe de Wordfence Threat Intelligence a divulgué de manière responsable des vulnérabilités dans plus de 15 des plugins complémentaires les plus populaires pour Elementor, qui sont collectivement installés sur plus de 3,5 millions de sites. Au total, notre équipe a trouvé plus de 100 points de terminaison vulnérables.
Ces vulnérabilités de Cross-Site Scripting stockées étaient similaires dans l’exécution à la vulnérabilités récemment publiées dans le plugin principal Elementor. Ils permettaient à tout utilisateur capable d’accéder à l’éditeur Elementor, y compris les contributeurs, d’ajouter du JavaScript aux articles. Ce JavaScript serait exécuté si le message était consulté, modifié ou prévisualisé par tout autre utilisateur du site, et pourrait être utilisé pour prendre le contrôle d’un site si la victime était un administrateur.
Ces vulnérabilités sont couvertes par la même règle de pare-feu Wordfence que nous avons créée pour la vulnérabilité Elementor originale, qui est disponible pour les utilisateurs gratuits de Wordfence depuis le 25 mars 2021.
Quels plugins ont été impactés?
Nous avons trouvé les mêmes vulnérabilités dans presque tous les plugins que nous avons examinés et qui ajoutent des éléments supplémentaires au constructeur de pages Elementor.
Nous avons tenté d’informer les développeurs et les éditeurs du plus grand nombre possible de plugins vulnérables et leur avons conseillé de revoir leurs plugins premium pour des problèmes similaires.
Dans la plupart des cas, les développeurs de plugins que nous avons contactés ont rapidement corrigé, mais quelques-uns n’ont pas répondu à notre demande de contact initiale. Dans ces cas, nous avons contacté le référentiel de plugins WordPress pour faire examiner les plugins vulnérables.
En raison du grand nombre de plugins qui ajoutent de nouveaux éléments à Elementor, certains peuvent probablement encore être vulnérables, en particulier dans les cas où le code du plugin n’était pas librement disponible pour que nous puissions l’examiner, comme c’est le cas avec de nombreux plugins premium.
Notez que nous n’avons répertorié que les plugins qui ont été corrigés pour le moment. Si votre site exécute l’un de ces plugins, nous vous recommandons fortement de mettre à jour dès que possible. Si votre site exécute un plugin qui ajoute des fonctionnalités à Elementor via de nouveaux éléments ou widgets, et qu’il n’est pas répertorié ici, nous vous recommandons de contacter l’auteur ou le développeur du plugin pour vérifier qu’ils ont audité leur plugin pour ces problèmes.
Plugins concernés: Énumérés ci-dessous
Plugin Slugs: Énumérés ci-dessous
Versions affectées: Énumérés ci-dessous
ID CVE: En attente
Score CVSS: 6,4 Moyen
Vecteur CVSS: CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N
Versions entièrement corrigées: Énumérés ci-dessous
Addons essentiels pour Elementor (essential-addons-for-elementor-lite), 1M + Installations
Les versions <4.5.4 sont vulnérables, corrigées dans la version 4.5.4
Elementor – Modèle d’en-tête, de pied de page et de blocs (header-footer-elementor), 1M + Installations
Les versions <1.5.8 sont vulnérables, corrigées dans la version 1.5.8
Compléments ultimes pour Elementor (Ultimate-elementor), 600k + Installations
Les versions <1.30.0 sont vulnérables, corrigées dans la version 1.30.0
Addons Premium pour Elementor (premium-addons-for-elementor), 400k + Installations
Les versions <4.2.8 sont vulnérables, corrigées dans la version 4.2.8
ElementsKit (elementskit-lite) et ElementsKit Pro (elementskit), 300k + Installations
Les versions <2.2.0 sont vulnérables, corrigées dans la version 2.2.0
Éléments complémentaires Elementor (addon-elements-for-elementor-page-builder), 100k + Installations
Les versions <1.11.2 sont vulnérables, corrigées dans la version 1.11.2
Addons Livemesh pour Elementor (addons-for-elementor), 100k + Installations
Les versions <6.8 sont vulnérables, corrigées dans la version 6.8
HT Mega – Compléments absolus pour Elementor Page Builder (ht-mega-for-elementor), 70k + Installations
Les versions <1.5.7 sont vulnérables, corrigées dans la version 1.5.7
WooLentor – Compléments WooCommerce Elementor + Builder (Woolentor-addons), 50k + Installations
Les versions <1.8.6 sont vulnérables, corrigées dans la version 1.8.6
Addons PowerPack pour Elementor (powerpack-lite-for-elementor), 50k + Installations
Les versions <2.3.2 sont vulnérables, corrigées dans la version 2.3.2
Effets de survol d’image – Module complémentaire Elementor (image-hover-effects-addon-for-elementor), 40k + Installations
Les versions <1.3.4 sont vulnérables, corrigées dans la version 1.3.4
Extensions et modèles Rife Elementor (rife-elementor-extensions), 30k + Installations
Les versions <1.1.6 sont vulnérables, corrigées dans la version 1.1.6
Les modules complémentaires pour Elementor Page Builder Lite (the-plus-addons-for-elementor-page-builder), 30k + Installations
Les versions <2.0.6 sont vulnérables, corrigées dans la version 2.0.6
Compléments tout-en-un pour Elementor – WidgetKit (widgetkit-for-elementor), 20k + Installations
Les versions <2.3.10 sont vulnérables, corrigées dans la version 2.3.10
JetWidgets pour Elementor (jetwidgets-for-elementor), 10k + Installations
Les versions <1.0.9 sont vulnérables, corrigées dans la version 1.0.9
Extension Sina pour Elementor (sina-extension-for-elementor), 10k + Installations
Les versions <3.3.12 sont vulnérables, corrigées dans la version 3.3.12
DethemeKit pour Elementor (dethemekit-for-elementor), 8k + Installations
Les versions <1.5.5.5 sont vulnérables, corrigées dans la version 1.5.5.5
Comme pour les vulnérabilités du plugin principal Elementor, chacun de ces plugins ajoutait des éléments qui permettaient aux utilisateurs de sélectionner une balise HTML dans un menu déroulant afin d’ajouter une mise en forme à un titre ou à un autre texte. Malheureusement, les options de balise n’étaient pas appliquées côté serveur et seraient répercutées lors de l’affichage de l’élément.
Un attaquant pourrait, par exemple, intercepter une requête où il a ajouté un élément de titre, et changer une balise d’en-tête «H5» en une balise «script». Dans de nombreux cas, il était possible d’ajouter du JavaScript directement via l’une de ces balises, tandis que d’autres plugins imposaient différents niveaux de nettoyage. Même pour les plugins qui effectuaient un nettoyage à la sortie, il était encore souvent possible de définir l’utilisation de la balise HTML sur un script de source à distance, ou simplement de définir la balise sur «script» et de placer le JavaScript à exécuter dans le titre réel ou un autre élément similaire. paramètre.
Qui devrait s’en inquiéter?
Les sites qui ont plusieurs utilisateurs qui contribuent au contenu et exécutent une version non corrigée de l’un des plugins répertoriés ci-dessus doivent être considérés comme à risque. Il est peu probable que les vulnérabilités de ce type soient exploitées à grande échelle, mais elles sont extrêmement précieuses pour les attaquants ciblant des sites individuels. Cela s’applique en particulier aux sites médiatiques de haut niveau ou à d’autres sites susceptibles d’être spécifiquement ciblés par des attaquants. Si vous êtes le seul utilisateur de votre site, cela ne vous affectera pas.
Alors que toutes les vulnérabilités en question nécessitent qu’un attaquant accède à un compte avec au moins les autorisations de «contributeur» à exploiter, le rôle de contributeur n’est pas considéré comme un rôle de confiance. Tout contenu rédigé par des contributeurs doit être revu par un éditeur ou un administrateur avant de pouvoir être publié. Il peut être plus facile pour un attaquant d’obtenir l’accès à un compte avec des privilèges de contributeur que d’obtenir des informations d’identification administratives, et une vulnérabilité de ce type peut être utilisée pour effectuer une élévation de privilèges en exécutant JavaScript dans la session de navigateur d’un administrateur de révision.
Si vous êtes un développeur ou un éditeur de plugins proposant des plugins pour étendre les fonctionnalités d’Elementor via des widgets supplémentaires et que nous ne vous avons pas déjà contacté, nous vous recommandons fortement de consulter votre base de code pour des vulnérabilités similaires en utilisant les correctifs de ces plugins et le plugin principal Elementor comme un modèle.
Un merci spécial
Tous les logiciels sont vulnérables à un moment donné de leur cycle de vie, et la plupart des logiciels sont vulnérables dans une certaine mesure à tous point dans son cycle de vie. Il est irréaliste de s’attendre à ce qu’une entreprise ou un développeur écrive un logiciel totalement exempt de vulnérabilités sans tests et examens importants. Ce qui compte le plus, c’est leur réponse une fois que les vulnérabilités sont découvertes et divulguées.
À ce titre, nous tenons à remercier les développeurs et éditeurs de plugins suivants pour leurs réponses exemplaires à notre divulgation:
POSIMYTHE, éditeurs de Les modules complémentaires pour Elementor Page Builder Lite, pour nous aider à identifier d’autres plugins vulnérables et chercher activement à améliorer la sécurité de leur produit.
Force de remue-méninges, éditeurs de Elementor – Modèle d’en-tête, de pied de page et de blocs et Compléments ultimes pour Elementor, pour leur réponse rapide et leur transparence à informer leurs utilisateurs des problèmes de sécurité de leurs plugins.
HasThemes, éditeurs de HT Mega – Compléments absolus pour Elementor Page Builder et WooLentor – Compléments WooCommerce Elementor + Builder, pour leur réponse extrêmement rapide à la mise à jour de leurs plugins.
WPDeveloper, éditeurs de Addons essentiels pour Elementor, pour leur réponse rapide à la correction des vulnérabilités de leur plugin.
Crocoblock, éditeurs de JetWidgets pour Elementor et de nombreux autres plugins d’extension Elementor, pour leur réponse rapide et leur volonté de revoir leurs addons premium pour des problèmes similaires.
WebTechStreet, éditeurs de Éléments complémentaires Elementor, pour leur réponse rapide à la correction des vulnérabilités de leur plugin.
Livemesh, éditeurs de Addons Livemesh pour Elementor, pour leur réactivité.
WPMet, éditeurs du ElementsKit et les plugins ElementsKit Pro, pour leur réactivité.
ThèmesGrove, éditeurs de Compléments tout-en-un pour Elementor – WidgetKit, pour leur réactivité.
Apollo13Thèmes, éditeurs de Extensions et modèles Rife Elementor, pour leur réactivité.
deTheme, éditeurs de DethemeKit pour Elementor, pour leur réactivité.
Cet article était le résultat de semaines de recherche et de divulgation, et était, dans une certaine mesure, une course contre la montre avant qu’il ne devienne évident pour les observateurs extérieurs combien de plugins dans l’écosystème Elementor étaient vulnérables. Bien que le premier contact soit parfois difficile, nous avons été agréablement surpris par le nombre d’éditeurs que nous avons contactés qui ont commencé à travailler immédiatement après notre divulgation. Nous pensons que cela est de bon augure pour l’écosystème Elementor.
Conclusion
Dans cet article, nous avons couvert un ensemble répandu de vulnérabilités de Cross-Site Scripting (XSS) présentes dans de nombreux plugins complémentaires Elementor les plus populaires. Bien que la plupart des petits propriétaires de sites ne soient pas directement affectés, les vulnérabilités en question peuvent être utilisées pour la prise de contrôle de sites, et les sites plus grands avec plusieurs utilisateurs non approuvés sont particulièrement exposés.
Tous les utilisateurs de Wordfence, y compris les sites utilisant la version gratuite de Wordfence, sont protégés de ces vulnérabilités depuis le 25 mars 2021.
Si vous exécutez une version vulnérable de l’un de ces plugins sur votre site, assurez-vous de mettre à jour vers la dernière version disponible. Si vous courez quelconque addon plugins pour Elementor, assurez-vous d’appliquer toutes les mises à jour disponibles dès que possible.
Si vous connaissez un ami ou un collègue qui gère un site qui utilise Elementor, assurez-vous de lui transmettre également cet article. La sécurité est un effort de la communauté et rester informé est l’outil le plus efficace pour assurer la sécurité de votre site Web.
Source link