Le plugin Plus Addons for Elementor est exploité par des pirates

0

Le plugin Plus Addons for Elementor de WordPress contient une faille de sécurité critique que les hackers peuvent exploiter pour prendre le contrôle d’un site Web. D’abord signalé comme un bug zero-day, les chercheurs ont affirmé qu’il est activement exploité dans la nature.

Le plugin a été installé plus de 30 000 fois, selon son développeur. Il permet aux propriétaires de sites de créer divers widgets pour les sites Web, y compris des formulaires de connexions et d’inscription qui peuvent être ajoutés à une page Elementor. Elementor est un outil de construction de site pour WordPress.

La faille (CVE-2021-24175) est un problème d’élévation de privilège et de contournement d’authentification qui se trouve dans la fonction d’enregistrement de formulaire de Plus Addons Plus for Élémentor. La vulnérabilité a un score de 9,8/10 sur l’échelle de vulnérabilité CVSS, ce qui signifie que sa sévérité est critique.

« Malheureusement, cette fonctionnalité a été mal configurée et a permis aux pirates informatique de s’inscrire en tant qu’utilisateur administratif, ou de se connecter en tant qu’utilisateur administratif existant », selon les chercheurs de Wordfence, dans un communiqué. Ils ont ajouté que la faille est causée par une gestion de session cassée, mais n’ont pas fourni plus de détails techniques.

Exploité en tant que bug zero-day

Le bug a d’abord été signalé à WPScan par Seravo, une société d’hébergement web, en tant que bug zero day qui est exploité activement par les cybercriminels.

« Le plugin est activement exploité par les pirates informatiques pour contourner l’authentification, permettant aux utilisateurs non authentifiés de se connecter comme n’importe quel utilisateur (y compris les administrateurs) en fournissant simplement le bon nom d’utilisateur, ainsi que de créer des comptes avec des rôles arbitraires, selon l’aperçu de WPScan.

Plus Addons For Elementor

Quant à la façon dont les cybercriminels utilisent l’exploit, Wordfence a noté que les indicateurs de compromis pointent vers les attaquants créant des comptes privilégiés, puis les utilisant pour compromettre davantage le site.

Fait inquiétant, ils ont ajouté que la vulnérabilité peut encore être exploitée même s’il n’y a pas de connexion active ou de page d’enregistrement qui a été créée avec le plugin, et même si l’enregistrement et les connexions sont suspendus ou désactivés.

« Cela signifie que tout site utilisant ce plugin est vulnérable au compromis », selon le communiqué de Wordfence.

Comment corriger la faille de sécurité de Plus Addons for Elementor?

La vulnérabilité a été signalée le 8 Mars, et a été entièrement patchée un jour plus tard. Les administrateurs du site devraient passer à la version 4.1.7 de Plus Addons for Elementor pour éviter de se faire pirater, et ils devraient vérifier leur système pour être sûr qu’il n’y a pas d’utilisateurs administratifs inattendus ou de plugins qu’ils n’ont pas installés. « Plus Addons for Elementor Lite ne contient pas la même vulnérabilité, » a ajouté l’entreprise.

plus addons for elementor

« Si vous utilisez le plugin Plus Addons for Elementor, nous vous recommandons fortement de désactiver et de supprimer complètement le plugin jusqu’à ce que cette vulnérabilité soit patchée », ont déclaré les chercheurs. « Si la version gratuite suffit pour vos besoins, vous pouvez passer à cette version pour le moment. »

Les problèmes de plugins de WordPress persistent

Les plugins WordPress continuent d’offrir un angle d’attaque attrayant pour les cybercriminels.

En Janvier, les chercheurs ont mis en garde contre deux vulnérabilités (dont une critique) dans un plugin WordPress appelé Orbit Fox qui pourrait permettre aux attaquants d’injecter du code malveillant dans des sites Web vulnérables et/ou de prendre le contrôle d’un site Web.

Un plugin appelé PopUp Builder, utilisé par les sites WordPress pour la création d’annonces pop-up pour les abonnements newsletter, s’est révélé avoir une vulnérabilité qui pourrait être exploité par les attaquants pour envoyer des newsletters avec du contenu personnalisé, ou de supprimer ou d’importer des abonnés d’une newsletter.

Et en Février, un bogue de sécurité de script inter-site (XSS) non patché a impacté 50 000 utilisateurs du plugin Contact Form 7 Style.

Laisser un commentaire