Les éditeurs du plugin Ultimate Addons for Elementor ont informé les clients d’une vulnérabilité affectant deux de leurs plugins.

Voici l’entrée dans le journal des modifications liée au plugin Elementor corrigé que Brainstorm Force a corrigé en mars 2021 :

  • Version 1.30.0 – Corrigé – 30 mars 2021

    Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité.

Brainstorm Force Elementor Plugin Vulnérabilités

Les éditeurs du plugin Ultimate Addons for Elementor ont informé les clients d’une vulnérabilité affectant deux de leurs plugins.

Les deux plugins concernés sont des addons pour le populaire plugin de création de pages Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder.

Les plugins addon présentant des vulnérabilités sont publiés par un tiers, Brainstorm Force.

Les plugins concernés pour Elementor sont :

  • Addons ultimes pour Elementor
  • Elementor – Modèle d’en-tête, de pied de page et de blocs

Un e-mail envoyé par Brainstorm Force a indiqué qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.

D’après le mail :

« Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence.

Ceux-ci sont très similaires à ceux que l’équipe Elementor a récemment corrigés dans leur version 3.1.2.

Capture d’écran de l’e-mail Brainstorm Force

Capture d'écran de l'e-mail de Brainstorm Force

La vulnérabilité Elementor à laquelle Brainstorm Force a fait référence est connue sous le nom de vulnérabilité de script intersite stockée, une vulnérabilité qui avait la possibilité de permettre à des pirates malveillants d’organiser une prise de contrôle complète du site.

(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)

Vulnérabilité de script intersite stocké

Brainstorm Force n’a pas explicitement indiqué que l’exploit corrigé était une vulnérabilité de script intersite stocké. Ils ont seulement comparé l’exploit corrigé à celui qui a été corrigé par le logiciel de création de pages Elementor.

Une vulnérabilité de script intersite stocké est une vulnérabilité dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelé XSS réfléchi qui dépend du clic sur un lien.

Avec une vulnérabilité XSS stockée, il n’est pas nécessaire de cliquer sur un lien, la vulnérabilité existe sur le site Web concerné.

Wordfence n’a pas publié de détails

Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor.

Mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de leurs plugins sont des exploits Stored XSS. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.

Versions corrigées des modules complémentaires Elementor

The Elementor – Modèle d’en-tête, de pied de page et de blocs

Le modèle Elementor – En-tête, pied de page et blocs a été mis à jour le 31 mars 2021 vers la version 1.5.8.

Selon le journal des modifications qui documente le contenu des mises à jour, cette mise à jour l’a renforcé contre une vulnérabilité.

Voici ce que le journal des modifications a documenté :

« 1.5.8
Correctif : options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Le fait que l’éditeur ait eu besoin de durcissement donne un indice ce suggère que la vulnérabilité peut en être une qui nécessite qu’un pirate ait des privilèges de niveau abonné.

Mais cela n’a pas encore été confirmé officiellement pour le moment.

Addons ultimes pour Elementor

Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.

La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – En-tête, pied de page et blocs.

Selon le journal des modifications Ultimate Addons for Elementor :

« Options renforcées autorisées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Mettre à jour immédiatement

Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.

Les dernières versions corrigées du logiciel sont :

  • The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
  • Addons ultimes pour Elementor 1.30.0

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici