• About
  • Advertise
  • Privacy & Policy
  • Contact
Tech News, Magazine & Review WordPress Theme 2017
  • ACCUEIL
    • Home – Layout 5
  • Review

    National Academy of Sciences endorses embryonic engineering

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Fujifilm X-T2 review: The definition of a great camera

    The Analogue Nt Mini is the perfect NES console for video game lovers

    Using a mind reading device, ‘locked-in’ patients told researchers they’re happy

    Watch Cruise’s self-driving Bolt EV navigate smoothly to SF’s Dolores Park

  • Gaming

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    The Analogue Nt Mini is the perfect NES console for video game lovers

    GoPro’s Karma drone is back on sale after design flaw made them fall out of the sky

  • Gear
    • All
    • Audio
    • Camera
    • Laptop
    • Smartphone

    Apple Watch Series 2 Is Swimproof and Comes With Built-In GPS

    National Academy of Sciences endorses embryonic engineering

    Jack Dorsey says he’ll continue running both Square and Twitter

    Fujifilm X-T2 review: The definition of a great camera

    The Warby Parker of hair color, Madison Reed, scores new funding and a CMO

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • Computers

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Fujifilm X-T2 review: The definition of a great camera

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

    SpaceX targets February 18 for Dragon resupply mission to ISS

  • Applications

    Apple Watch Series 2 Is Swimproof and Comes With Built-In GPS

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Jack Dorsey says he’ll continue running both Square and Twitter

  • Security

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    The Warby Parker of hair color, Madison Reed, scores new funding and a CMO

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

No Result
View All Result
  • ACCUEIL
    • Home – Layout 5
  • Review

    National Academy of Sciences endorses embryonic engineering

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Fujifilm X-T2 review: The definition of a great camera

    The Analogue Nt Mini is the perfect NES console for video game lovers

    Using a mind reading device, ‘locked-in’ patients told researchers they’re happy

    Watch Cruise’s self-driving Bolt EV navigate smoothly to SF’s Dolores Park

  • Gaming

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    The Analogue Nt Mini is the perfect NES console for video game lovers

    GoPro’s Karma drone is back on sale after design flaw made them fall out of the sky

  • Gear
    • All
    • Audio
    • Camera
    • Laptop
    • Smartphone

    Apple Watch Series 2 Is Swimproof and Comes With Built-In GPS

    National Academy of Sciences endorses embryonic engineering

    Jack Dorsey says he’ll continue running both Square and Twitter

    Fujifilm X-T2 review: The definition of a great camera

    The Warby Parker of hair color, Madison Reed, scores new funding and a CMO

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

    Trending Tags

    • Best iPhone 7 deals
    • Apple Watch 2
    • Nintendo Switch
    • CES 2017
    • Playstation 4 Pro
    • iOS 10
    • iPhone 7
    • Sillicon Valley
  • Computers

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Fujifilm X-T2 review: The definition of a great camera

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

    SpaceX targets February 18 for Dragon resupply mission to ISS

  • Applications

    Apple Watch Series 2 Is Swimproof and Comes With Built-In GPS

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    Jack Dorsey says he’ll continue running both Square and Twitter

  • Security

    To regain advertiser trust, Facebook is tracking ads by the millisecond

    National Academy of Sciences endorses embryonic engineering

    Google has been asked to take down over a million websites

    Watch Dogs 2 Update Coming This Week, Here’s What It Does

    The Warby Parker of hair color, Madison Reed, scores new funding and a CMO

    Shopify CEO attempts to defend continued hosting of Breitbart’s online store

No Result
View All Result
Technique de pointe
No Result
View All Result
Home Générale

Vulnérabilité WordPress dans les addons essentiels pour Elementor

Caleb by Caleb
juillet 30, 2022
149
Vulnérabilité WordPress dans les addons essentiels pour Elementor
Share on FacebookShare on Twitter


Le plugin Essential Addons for Elementor WordPress, avec plus d’un million d’utilisateurs, a récemment corrigé plusieurs vulnérabilités qui auraient pu permettre à des attaquants malveillants d’exécuter du code arbitraire sur un site Web WordPress ciblé.

Vulnérabilité d’attaque LFI à RCE

Selon le site Web du gouvernement américain NIST, les vulnérabilités du plugin Essential Addons for Elementor ont permis à un attaquant de lancer une attaque Local File Inclusion, qui est un exploit qui permet à un attaquant de faire en sorte qu’une installation WordPress révèle des informations sensibles et lise des informations arbitraires. des dossiers.

À partir de là, l’attaque pourrait conduire à une attaque plus grave appelée Remote Code Execution (RCE). L’exécution de code à distance est une forme d’attaque très sérieuse dans laquelle un pirate est capable d’exécuter du code arbitraire sur un site WordPress et de causer une série de dommages, y compris une prise de contrôle complète du site.

Par exemple, une attaque par inclusion de fichiers locaux peut être accomplie en modifiant les paramètres d’URL en quelque chose qui pourrait révéler des informations sensibles.

Cela a été rendu possible car le plugin Essential Addons for Elementor WordPress n’a pas correctement validé et nettoyé les données.

La désinfection des données est un processus visant à limiter le type d’informations pouvant être saisies. En termes simples, le nettoyage des données peut être considéré comme un verrou qui n’autorise qu’une entrée spécifique, une clé avec un modèle spécifique. Un échec de l’assainissement des données pourrait être analogue à un verrou qui permet à n’importe quelle clé de l’ouvrir.

Selon le gouvernement des États-Unis Base de données nationale sur la vulnérabilité:

«Le plugin Essential Addons for Elementor WordPress avant 5.0.5 ne valide pas et ne nettoie pas certaines données de modèle avant qu’elles ne soient incluses dans les instructions, ce qui pourrait permettre à des attaquants non authentifiés d’effectuer une attaque par inclusion de fichiers locaux et de lire des fichiers arbitraires sur le serveur, cela pourrait également conduire vers RCE via des fichiers téléchargés par l’utilisateur ou d’autres techniques LFI vers RCE.

Site de sécurité WPScan qui ont été les premiers à découvrir découvrir et signaler la vulnérabilité publié la description suivante :

“Le plugin ne valide pas et ne nettoie pas certaines données de modèle avant de les inclure dans les déclarations, ce qui pourrait permettre à des attaquants non authentifiés d’effectuer une attaque par inclusion de fichiers locaux et de lire des fichiers arbitraires sur le serveur, cela pourrait également conduire à RCE via des fichiers téléchargés par l’utilisateur ou d’autres LFI aux techniques RCE.

Addons essentiels pour Elementor patché

La vulnérabilité a été annoncée sur le site de la base de données nationale sur les vulnérabilités le 1er février 2022.

Mais la version “Lite” du plugin Essential Addons for Elementor corrige des vulnérabilités depuis fin janvier, selon le journal des modifications d’Essential Addons Lite.

Un journal des modifications est un fichier journal de toutes les modifications apportées pour chaque version d’un logiciel, comme un plugin WordPress, qui est mis à jour. C’est un enregistrement de tout ce qui a été changé.

Le but du journal des modifications est d’enregistrer ce qui a été modifié ainsi que de fournir de la transparence aux utilisateurs du logiciel, qui peuvent l’examiner avant la mise à jour et décider si la mise à jour est importante ou prendre du temps et tester le plugin sur un site intermédiaire pour voir si les modifications ont un impact sur d’autres plugins et le thème utilisé.

Curieusement, le journal des modifications de la version Pro ne mentionne que “Quelques corrections de bugs mineurs et améliorations” mais ne mentionne aucunement les correctifs de sécurité.

Capture d’écran des addons essentiels pour Elementor Pro Changelog

Journal des modifications pour les compléments essentiels pour le plugin Elementor

Pourquoi les informations sur le correctif de sécurité manquent-elles dans la version Pro du plugin WordPress ?

Journal des modifications pour la version Lite d’Essential Addons for Elementor Lite Plugin

Le journal des modifications de la version Lite couvrant les versions 5.0.3 à 5.0.5 a été mis à jour du 25 au 28 janvier 2022 pour résoudre les problèmes suivants :

  • Corrigé : nettoyage des paramètres dans les widgets dynamiques
  • Amélioré : Chemins d’accès aux fichiers de modèles épurés pour l’amélioration de la sécurité
  • Amélioré : sécurité renforcée pour empêcher l’inclusion d’un serveur distant de formulaire de fichier indésirable via une requête ajax

Le changelog note qu’aujourd’hui, le 2 février 2022, l’amélioration de sécurité suivante a été effectuée pour la version 5.0.6 :

  • Amélioré : désinfection, validation et échappement des données pour l’amélioration de la sécurité

Quelle est la version la plus sûre des compléments essentiels pour le plugin Elementor ?

La base de données du gouvernement américain sur les vulnérabilités n’a pas attribué de score de gravité, il n’est donc pas clair pour le moment à quel point la vulnérabilité est grave.

Cependant, une vulnérabilité d’exécution de code à distance est particulièrement préoccupante, c’est donc probablement une bonne idée de mettre à jour vers la toute dernière version du plugin Essential Addons.

Le site Web WPScan indique que les vulnérabilités ont été corrigées dans Essential Addons for Elementor Plugin version 5.0.5.

Cependant, le journal des modifications du plugin pour la version Lite du plugin indique que la version 5.0.6 corrige un problème supplémentaire de désinfection des données aujourd’hui, le 22 février 2022.

Il peut donc être prudent de mettre à jour au moins la version 5.0.6.

Citations

Lire le rapport de vulnérabilité WPScan

Addons essentiels pour Elementor < 5.0.5 - LFI non authentifié

Lire le rapport du gouvernement des États-Unis sur la vulnérabilité

CVE-2022-0320 Détail

Lisez le journal des modifications Essential Addons for Elementor Plugin Lite

Addons essentiels pour Elementor Lite Plugin Changelog

Lisez le journal des modifications pour les compléments essentiels pour Elementor Pro

Addons essentiels pour Elementor Pro Changelog



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Recommended.

Les employés d’entrepôt changeront-ils d’emploi pour utiliser la technologie ?  Une nouvelle enquête dit oui

Les employés d’entrepôt changeront-ils d’emploi pour utiliser la technologie ? Une nouvelle enquête dit oui

juin 30, 2022
Tesla accepte d’arrêter de laisser les conducteurs jouer à des jeux vidéo dans des voitures en mouvement

Tesla accepte d’arrêter de laisser les conducteurs jouer à des jeux vidéo dans des voitures en mouvement

décembre 24, 2021

Subscribe.

Trending.

10 problèmes courants de l’iPhone 13 et comment les résoudre

10 problèmes courants de l’iPhone 13 et comment les résoudre

décembre 24, 2021
Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

novembre 25, 2021
Erreur C14a du code d’assistance Snapchat : comment y remédier ?

Erreur C14a du code d’assistance Snapchat : comment y remédier ?

août 21, 2022
Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

Étapes pour installer MySQL sur Ubuntu 22.04 LTS Jammy Linux

mai 15, 2022
Comment réparer le décalage d’Instagram sur iPhone et Android

Comment réparer le décalage d’Instagram sur iPhone et Android

novembre 26, 2021

Catégories de produits

  • Non classé (2)
Technique de pointe

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Follow Us

Catégories

  • Apple
  • Applications
  • Audio
  • Camera
  • Computers
  • Gaming
  • Gear
  • Générale
  • Laptop
  • Microsoft
  • Photography
  • portrait
  • Review
  • Security
  • Smartphone

Étiquettes

actualités industrielles actualité économique affaires ailette AMERS ASIE ASXPAC BACT Buying Guides CMPNY Commerce courrier quotidien CYCS CYCS08 des sports Divertissement EMRG Entreprise GEN Google Inc. ITSE ITSE08 jeu vidéo jeux vidéo l'Internet La technologie Logiciel Microsoft MTPIX NOM nous nouvelles Playstation 4 Pro politique Sillicon Valley SWIT TECH08 technologie TMT TOPCMB TOPNWS Types de contenu Éducation économie

Recent News

Exposition “Portrait d’un soldat” exposée au Cook County Building

Exposition “Portrait d’un soldat” exposée au Cook County Building

mars 21, 2023
Rapport sur le marché de la détection de profondeur 2022: le secteur atteindra 16,1 milliards de dollars américains d’ici 2032

Rapport sur le marché de la détection de profondeur 2022: le secteur atteindra 16,1 milliards de dollars américains d’ici 2032

mars 21, 2023
  • About
  • Advertise
  • Privacy & Policy
  • Contact

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Accueil
  • high tech
  • Jeu Vidéo
  • Tutoriel
    • HTML5 / CSS
    • Java Script
    • PHP / MySQL
  • Microsoft
  • Apple
  • Review
  • Applications
  • Photography
  • Security

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
Sign In with Linked In
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

Nous avons découvert un nouveau système qui génère des revenus 100% passifs... Ignorer