Elementor, un plugin de création de site Web WordPress avec plus de cinq millions d’installations actives, s’est avéré vulnérable à une faille d’exécution de code à distance authentifiée qui pourrait être utilisée de manière abusive pour prendre le contrôle des sites Web concernés.

Plugin Vulnerabilities, qui a révélé la faille la semaine dernière, a déclaré que le bogue avait été introduit dans la version 3.6.0 publiée le 22 mars 2022. Environ 37 % des utilisateurs du plugin utilisent la version 3.6.x.

« Cela signifie que le code malveillant fourni par l’attaquant peut être exécuté par le site Web », ont déclaré les chercheurs. « Dans ce cas, il est possible que la vulnérabilité soit exploitable par une personne non connectée à WordPress, mais elle peut facilement être exploitée par toute personne connectée à WordPress ayant accès au tableau de bord d’administration de WordPress. »

En un mot, le problème concerne un cas de téléchargement arbitraire de fichiers sur les sites Web concernés, pouvant conduire à l’exécution de code.

Le bogue a été corrigé dans la dernière version d’Elementor, Patchstack notant que « cette vulnérabilité pourrait permettre à tout utilisateur authentifié, quelle que soit son autorisation, de changer le titre du site, le logo du site, de changer le thème pour le thème d’Elementor, et le pire de tout , téléchargez des fichiers arbitraires sur le site. »

La divulgation intervient plus de deux mois après qu’il a été découvert qu’Essential Addons for Elementor contenait une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire sur des sites Web compromis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *