Les chercheurs en sécurité de Wordfence ont découvert une vulnérabilité sur des sites construits avec Elementor. L’exploit est un type désigné comme une vulnérabilité XSS (Stored Cross-site Scripting). Il a le potentiel de permettre aux attaquants de prendre le contrôle d’un site Web.
Vulnérabilité inter-sites stockée
Cross Site Scripting (XSS) est un type de vulnérabilité dans lequel un attaquant télécharge un script malveillant qui sera ensuite exécuté par toute personne visitant la page Web où le script est affiché dans le navigateur.
Publicité
Continuer la lecture ci-dessous
Le script peut faire un certain nombre de choses comme voler des cookies, des informations de mot de passe, etc.
Cette version particulière de l’exploit XSS est appelée vulnérabilité Stored Cross Site Scripting car elle est stockée sur le site Web lui-même.
L’autre type de XSS est appelé un Cross Site Scripting réfléchi, qui dépend d’un lien sur lequel l’utilisateur clique (par exemple via un e-mail).
Les scripts intersites stockés ont le plus grand potentiel de nuire, car ils peuvent attaquer n’importe quel visiteur d’une page Web.
Exploit XSS Elementor stocké
La vulnérabilité XSS stockée affectant Elementor peut être utilisée pour voler les informations d’identification de l’administrateur. L’attaquant doit cependant d’abord obtenir un rôle d’utilisateur WordPress de niveau publication, même le niveau de Contributeur le plus bas peut initier l’attaque.
Publicité
Continuer la lecture ci-dessous
Niveau contributeur Rôle WordPress est un faible niveau d’utilisateurs enregistrés qui peuvent lire, publier, modifier et supprimer leurs propres articles sur un site Web. Ils ne peuvent cependant pas télécharger des fichiers multimédias comme des images.
Fonctionnement de l’attaque de vulnérabilité Elementor
La vulnérabilité exploite une faille qui permet à un attaquant de télécharger un script malveillant dans l’écran d’édition.
L’échappatoire existait dans six composants Elementor:
- Accordéon
- Boîte à icônes
- Boîte d’image
- Titre
- Diviseur
- Colonne
Wordfence a expliqué comment les attaquants exploitent ces composants:
«Beaucoup de ces éléments offrent la possibilité de définir une balise HTML pour le contenu à l’intérieur. Par exemple, l’élément «En-tête» peut être configuré pour utiliser les balises H1, H2, H3, etc. afin d’appliquer différentes tailles d’en-tête via le paramètre header_size.
Malheureusement, pour six de ces éléments, les balises HTML n’ont pas été validées côté serveur, il était donc possible pour tout utilisateur capable d’accéder à l’éditeur Elementor, y compris les contributeurs, d’utiliser cette option pour ajouter du JavaScript exécutable à un article ou une page via une demande élaborée. »
Une fois le script téléchargé, tout visiteur de la page Web, même si c’est l’éditeur qui prévisualise la page avant la publication, peut exécuter le code dans le navigateur et rendre sa session authentifiée accessible à l’attaquant.
Publicité
Continuer la lecture ci-dessous
Mettre à jour Elementor maintenant
Il est recommandé par Wordfence que tous les utilisateurs d’Elementor mettent à jour leur version au moins à 3.1.4 (par Wordfence) bien que le changement de configuration officiel d’Elementor Pro indique qu’il existe un correctif de sécurité.
Un journal des modifications est un enregistrement officiel des modifications apportées par un développeur de logiciel à chaque version du logiciel.
Il peut être prudent de mettre à jour vers la toute dernière version disponible, car Elementor Pro 3.2.0 corrige un problème de sécurité:
“Options nettoyées dans l’éditeur pour appliquer de meilleures politiques de sécurité”
Citations
Annonce officielle de Wordfence:
Les vulnérabilités des scripts intersites dans Elementor ont un impact sur plus de 7 millions de sites
— to www.searchenginejournal.com
