Les utilisateurs d’Elementor qui n’ont pas mis à jour récemment voudront obtenir la dernière version 3.1.4 dès que possible. Des chercheurs de Wordfence ont révélé un ensemble de vulnérabilités de Cross-Site Scripting (XSS) stockées dans le plugin à ses auteurs en février, qui a été partiellement corrigé à ce moment-là et des correctifs supplémentaires ont été publiés la deuxième semaine de mars.

Wordfence a résumé les vulnérabilités dans un Publier publié hier, accompagné d’une présentation détaillée de la manière dont un attaquant pourrait compromettre des sites utilisant Elementor:

Ces vulnérabilités permettaient à tout utilisateur capable d’accéder à l’éditeur Elementor, y compris les contributeurs, d’ajouter du JavaScript aux publications. Ce JavaScript serait exécuté si le message était consulté, modifié ou prévisualisé par tout autre utilisateur du site, et pourrait être utilisé pour prendre le contrôle d’un site si la victime était un administrateur.

De nombreux «éléments» ou composants du plugin acceptent un html_tag paramètre, qui était sorti sans échappement et pouvait être défini pour exécuter un script. Quelques-uns des éléments vulnérables incluent la colonne, l’accordéon, l’en-tête, le séparateur, la zone d’icônes et la zone d’image.

Au moment de la publication, moins de la moitié de toutes les installations d’Elementor s’exécutaient sur la version 3.1.x, laissant des millions de sites toujours vulnérables. Wordfence a confirmé ce matin qu’ils ne voyaient actuellement pas d’exploits actifs contre ces vulnérabilités.

«En raison des privilèges requis, nous nous attendons à ce qu’il soit principalement utilisé dans des attaques ciblées plutôt que dans des tentatives généralisées», a déclaré Ram Gall, chercheur en sécurité chez Wordfence. «Autrement dit, il est susceptible d’être utilisé pour l’élévation de privilèges une fois qu’un attaquant a pu mettre un pied dans la porte, plutôt que pour une chaîne d’exploitation complète du début à la fin. Cela va être plus préoccupant pour les sites qui ont de nombreux utilisateurs contributeurs ou auteurs, car cela signifie une surface d’attaque plus large. La principale raison de cette préoccupation est le grand nombre d’installations. »

Gall, qui a découvert les vulnérabilités, a décrit un scénario dans lequel elles sont le plus facilement exploitables. Un contributeur sur le site réutilise un mot de passe qui a été dans une violation de données. L’attaquant trouve ce mot de passe, se connecte et ajoute une publication contenant un code malveillant. L’administrateur voit le message du contributeur dans l’admin. La visite de ce message exécutera le JavaScript malveillant dans le navigateur, qui, selon Gall, pourrait infecter le site avec de nouveaux comptes d’administrateur ou du code malveillants pour prendre le contrôle du site.

Hormis une brève mention dans le journal des modifications, Elementor n’a pas alerté ses utilisateurs des problèmes de sécurité sur le blog du produit ou les comptes de médias sociaux:

  • Correction: options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité
  • Correction: supprimé html option dans le module Lightbox pour éviter les problèmes de sécurité

«Elementor a été très réactif au départ, bien qu’ils ne nous aient pas tenus au courant des correctifs après le rapport initial», a déclaré Kathy Zant, représentante de Wordfence. «Ils ont un contact de sécurité répertorié sur leur site, ce qui est toujours utile. Souvent, les chercheurs en sécurité ont du mal à identifier et à contacter la bonne personne avec qui partager des preuves de vulnérabilités, nous sommes donc toujours reconnaissants lorsque nous sommes en mesure de démarrer facilement ces discussions. »

La dernière version 3.1.4 contient les correctifs pour ces vulnérabilités, ainsi que des correctifs pour d’autres bogues moins graves dans le plugin. Il est conseillé aux utilisateurs d’Elementor de mettre à jour dès que possible pour éviter que les vulnérabilités ne soient utilisées pour la prise de contrôle du site.


Source link