• Accueil
  • Info
  • Publicité
  • Privacy & Policy
  • Nous Contacter
No Result
View All Result
Technique de pointe
  • Actualité
  • Technologies
  • Jeu vidéo
  • Mobile
  • Astuces
  • HTML5 / CSS
  • Java Script
  • PHP
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Nous Contacter
MYCAMER
  • Actualité
  • Mobile
  • Jeu vidéo
    10 séries de jeux vidéo qui ont encore besoin d’adaptations animées

    10 séries de jeux vidéo qui ont encore besoin d’adaptations animées

    5 personnages de jeux vidéo avec des accents gallois qui ne viennent pas d’Elden Ring

    5 personnages de jeux vidéo avec des accents gallois qui ne viennent pas d’Elden Ring

    Je fête le Tour de France en faisant du vélo dans les jeux

    Je fête le Tour de France en faisant du vélo dans les jeux

    Les chats sont meilleurs que les chiens (en tant que protagonistes de jeux vidéo)

    Les chats sont meilleurs que les chiens (en tant que protagonistes de jeux vidéo)

    Bangor’s Gamenetics apporte de la créativité aux contrôleurs de jeux vidéo

    Bangor’s Gamenetics apporte de la créativité aux contrôleurs de jeux vidéo

    Dwayne Johnson fait la promotion du jeu vidéo “DC League of Super-Pets”

    Dwayne Johnson fait la promotion du jeu vidéo “DC League of Super-Pets”

    Pourquoi les joueurs sont ravis de la renaissance de FF7, mais pas du remake de The Last of Us

    Pourquoi les joueurs sont ravis de la renaissance de FF7, mais pas du remake de The Last of Us

    Les meilleurs jeux vidéo concernent les duos Badass et Child

    Les meilleurs jeux vidéo concernent les duos Badass et Child

    La vidéo de Fallout 3 montre du contenu qui a été coupé du jeu

    La vidéo de Fallout 3 montre du contenu qui a été coupé du jeu

  • Developpement web
    • All
    • Language HTML5
    Un groupe de soutien donne pour aider au confort des patients atteints de cancer

    Un groupe de soutien donne pour aider au confort des patients atteints de cancer

    Repêchage de la LNH: Lane Hutson et Jack Devine en tête d’affiche de la catégorie des espoirs élevés à Chicago

    Repêchage de la LNH: Lane Hutson et Jack Devine en tête d’affiche de la catégorie des espoirs élevés à Chicago

    La Juventus “veut” un accord d’échange Werner-De Ligt, la “nouvelle offre” de Barcelone pour Raphinha, Chelsea “cible” Kimpembe – News 24

    La Juventus “veut” un accord d’échange Werner-De Ligt, la “nouvelle offre” de Barcelone pour Raphinha, Chelsea “cible” Kimpembe – News 24

    CSS Founder : Top entreprise de conception de sites Web à Bangalore

    CSS Founder : Top entreprise de conception de sites Web à Bangalore

    Un homme accusé d’homicide suite à une épave causée par un excès de vitesse sur le boulevard Wilma Rudolph

    Un homme accusé d’homicide suite à une épave causée par un excès de vitesse sur le boulevard Wilma Rudolph

    Extensions de navigateur qui ont fait les choses en grand

    Extensions de navigateur qui ont fait les choses en grand

    Test du Chromebook Lenovo IdeaPad Duet 3

    Test du Chromebook Lenovo IdeaPad Duet 3

    Premiers pas avec Lottie.js – SitePoint

    Premiers pas avec Lottie.js – SitePoint

    COVID-19 due to the B.1.617.2 (Delta) variant compared to B.1.1.7 (Alpha) variant of SARS-CoV-2: a prospective observational cohort study

  • Astuces
    7 choses à faire avant de changer votre thème WordPress

    7 choses à faire avant de changer votre thème WordPress

    Comment créer un site Web en 5 étapes

    Comment créer un site Web en 5 étapes

    Les 5 meilleurs outils SEO pour booster votre classement

    Les 5 meilleurs outils SEO pour booster votre classement

    La mise à jour du plugin Yoast WordPress provoque des erreurs fatales

    La mise à jour du plugin Yoast WordPress provoque des erreurs fatales

    Autowriterpro utilise l’IA pour générer de nouveaux articles pour 40 $

    Autowriterpro utilise l’IA pour générer de nouveaux articles pour 40 $

    WordPress révèle son option de création de site Web la plus abordable à ce jour

    WordPress révèle son option de création de site Web la plus abordable à ce jour

    11 étapes pour vous aider à démarrer votre carrière de blogueur

    11 étapes pour vous aider à démarrer votre carrière de blogueur

    Les 15 meilleures façons de sécuriser un site WordPress

    Les 15 meilleures façons de sécuriser un site WordPress

    WordPress 6.0 rend la création d’un site Web plus facile que jamais

    WordPress 6.0 rend la création d’un site Web plus facile que jamais

  • Nous contacter
No Result
View All Result
MYCAMER
No Result
View All Result
ADVERTISEMENT
Home Astuces

Vulnérabilité d’exécution de code à distance du plugin WordPress Elementor

Caleb by Caleb
mai 16, 2022
in Astuces
0 0
0
Vulnérabilité d’exécution de code à distance du plugin WordPress Elementor
332
SHARES
2k
VIEWS
Share on FacebookShare on TwitterRedditLinkedin


Une vulnérabilité a été découverte dans Elementor, à partir de la version 3.6.0, qui permet à un attaquant de télécharger du code arbitraire et d’organiser une prise de contrôle complète du site. La faille a été introduite par un manque de politiques de sécurité appropriées dans une nouvelle fonctionnalité d’assistant “Onboarding”.

Vérifications de capacité manquantes

La faille dans Elementor était liée à ce que l’on appelle les contrôles de capacité.

Un contrôle de capacité est une couche de sécurité que tous les fabricants de plugins sont obligés de coder. Ce que fait la vérification de capacité, c’est de vérifier le niveau d’autorisation de tout utilisateur connecté.

Par exemple, une personne disposant d’une autorisation de niveau abonné peut être en mesure de soumettre des commentaires sur des articles, mais elle n’aura pas les niveaux d’autorisation lui permettant d’accéder à l’écran d’édition de WordPress pour publier des articles sur le site.

Les rôles d’utilisateur peuvent être administrateur, éditeur, abonné, etc., chaque niveau contenant des capacités d’utilisateur qui sont attribuées à chaque rôle d’utilisateur.

Lorsqu’un plugin exécute du code, il est censé vérifier si l’utilisateur a une capacité suffisante pour exécuter ce code.

WordPress a publié un manuel des plugins qui traite spécifiquement de cet important contrôle de sécurité.

Le chapitre s’intitule, Vérification des capacités de l’utilisateur et il décrit ce que les fabricants de plugins doivent savoir sur ce type de contrôle de sécurité.

Le manuel WordPress conseille :

“Vérification des capacités de l’utilisateur

Si votre plugin permet aux utilisateurs de soumettre des données, que ce soit du côté administrateur ou public, il doit vérifier les capacités de l’utilisateur.

… L’étape la plus importante dans la création d’une couche de sécurité efficace consiste à mettre en place un système d’autorisation des utilisateurs. WordPress fournit cela sous la forme de rôles et de capacités d’utilisateur.

Elementor version 3.6.0 a introduit un nouveau module (module d’intégration) qui n’incluait pas les vérifications de capacités.

Le problème avec Elementor n’est donc pas que les pirates ont été intelligents et ont découvert un moyen de prendre le contrôle complet des sites Web basés sur Elementor.

L’exploit dans Elementor était dû à une incapacité à utiliser les contrôles de capacité là où ils étaient censés le faire.

Selon le rapport publié par Wordfence :

“Malheureusement, aucun contrôle de capacité n’a été utilisé dans les versions vulnérables.

Un attaquant pourrait créer un faux fichier zip malveillant du plug-in “Elementor Pro” et utiliser cette fonction pour l’installer.

Tout code présent dans le faux plugin serait exécuté, ce qui pourrait être utilisé pour reprendre le site ou accéder à des ressources supplémentaires sur le serveur.

Action recommandée

La vulnérabilité a été introduite dans Elementor version 3.6.0 et n’existe donc pas dans les versions antérieures à celle-ci.

Wordfence recommande aux éditeurs de mettre à jour vers la version 3.6.3.

Cependant, l’officiel Journal des modifications d’élémentor indique que la version 3.6.4 corrige les problèmes de nettoyage liés au module de l’assistant d’intégration concerné.

C’est donc probablement une bonne idée de mettre à jour vers Elementor 3.6.4.

Capture d’écran du journal des modifications du plugin Elementor WordPress

Capture d'écran du journal des modifications du plugin Elementor WordPress

Citation

Lire le rapport Wordfence sur la vulnérabilité Elementor

Vulnérabilité critique d’exécution de code à distance dans Elementor



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Stay Connected

  • 85.8k Followers
  • 172k Subscribers

Articles populaires

  • 10 problèmes courants de l’iPhone 13 et comment les résoudre

    10 problèmes courants de l’iPhone 13 et comment les résoudre

    4034 shares
    Share 1614 Tweet 1009
  • Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

    1073 shares
    Share 429 Tweet 268
  • 2 façons d’installer le serveur LAMP sur Ubuntu 22.04 | 20.04

    456 shares
    Share 182 Tweet 114
  • Battle.net s’est remis d’une attaque DDoS, selon Blizzard

    578 shares
    Share 231 Tweet 145
  • Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

    358 shares
    Share 143 Tweet 90

Follow Our Page

Follow Us

    Go to the Customizer > JNews : Social, Like & View > Instagram Feed Setting, to connect your Instagram account.
Facebook Twitter Youtube Vimeo Instagram

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Category

  • Actualité
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Language HTML5
  • Mobile
  • portrait
  • Technologies

Recent News

La technologie n’est pas la panacée pour les décès en détention

La technologie n’est pas la panacée pour les décès en détention

juillet 3, 2022
Lufthansa exige l’utilisation d’une technologie de scanner plus moderne

Lufthansa exige l’utilisation d’une technologie de scanner plus moderne

juillet 3, 2022

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Actualité
  • Mobile
  • Jeu vidéo
  • Developpement web
  • Astuces
  • Nous contacter

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
fr French
ar Arabiczh-CN Chinese (Simplified)en Englishfr Frenchde Germanit Italianru Russianes Spanish

Add New Playlist

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.