Des acteurs de menaces inconnus exploitent activement une vulnérabilité de sécurité récemment corrigée dans le plugin de création de site Web Elementor Pro pour WordPress.
La faille, décrite comme un cas de contrôle d’accès cassé, impacte les versions 3.11.6 et antérieures. Il a été résolu par les responsables du plugin dans la version 3.11.7 publiée le 22 mars.
« Amélioration de l’application de la sécurité du code dans les composants WooCommerce », l’Elementor a dit dans ses notes de publication. Le plugin premium est estimé être utilisé sur plus de 12 millions de sites.
L’exploitation réussie de la faille de haute gravité permet à un attaquant authentifié d’effectuer une prise de contrôle d’un site WordPress sur lequel WooCommerce est activé.
« Cela permet à un utilisateur malveillant d’activer la page d’inscription (si elle est désactivée) et de définir le rôle d’utilisateur par défaut sur administrateur afin qu’il puisse créer un compte qui dispose instantanément des privilèges d’administrateur », a déclaré Patchstack. a dit dans une alerte du 30 mars 2023.
« Après cela, ils sont susceptibles soit de rediriger le site vers un autre domaine malveillant, soit de télécharger un plugin malveillant ou une porte dérobée pour exploiter davantage le site. »
Crédité de découvrir et signaler la vulnérabilité le 18 mars 2023, est le chercheur en sécurité NinTechNet Jérôme Bruandet.
Patchstack a en outre noté que la faille est actuellement exploitée à l’état sauvage à partir de plusieurs adresses IP ayant l’intention de télécharger des fichiers d’archives PHP et ZIP arbitraires.
Il est recommandé aux utilisateurs du plugin Elementor Pro de mettre à jour vers 3.11.7 ou 3.12.0, qui est la dernière version, dès que possible pour atténuer les menaces potentielles.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
L’avis intervient plus d’un an après qu’il a été découvert que le plug-in Essential Addons for Elementor contenait une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire sur des sites Web compromis.
La semaine dernière, WordPress a publié des mises à jour automatiques pour corriger un autre bogue critique dans le plugin WooCommerce Payments qui permettait à des attaquants non authentifiés d’obtenir un accès administrateur aux sites vulnérables.