• Accueil
  • Info
  • Publicité
  • Privacy & Policy
  • Nous Contacter
No Result
View All Result
Technique de pointe
  • Actualité
  • Technologies
  • Jeu vidéo
  • Mobile
  • Astuces
  • HTML5 / CSS
  • Java Script
  • PHP
  • Article Sponsorisé
  • Astuces
  • Jeu vidéo
  • Nous Contacter
MYCAMER
  • Actualité
  • Mobile
  • Jeu vidéo
    Un adjoint témoigne qu’il a envoyé des photos de Kobe Crash au flic pendant qu’ils jouaient à “Call Of Duty”

    Un adjoint témoigne qu’il a envoyé des photos de Kobe Crash au flic pendant qu’ils jouaient à “Call Of Duty”

    Nouveau jeu du Seigneur des Anneaux venant de l’atelier Weta

    Nouveau jeu du Seigneur des Anneaux venant de l’atelier Weta

    Chefs d’orchestre avec contrôleurs : la classe musicale unique d’OSU |  Divertissement

    Chefs d’orchestre avec contrôleurs : la classe musicale unique d’OSU | Divertissement

    Bande-annonce pour le nouveau jeu vidéo “The Walking Dead”

    Bande-annonce pour le nouveau jeu vidéo “The Walking Dead”

    La mort des consoles de jeux vidéo mettra à l’écart Sony et Nintendo

    La mort des consoles de jeux vidéo mettra à l’écart Sony et Nintendo

    Sony craint que Microsoft, propriétaire de Call of Duty, ne crée un monopole

    Sony craint que Microsoft, propriétaire de Call of Duty, ne crée un monopole

    10 batailles de boss de jeux vidéo les plus bizarres

    10 batailles de boss de jeux vidéo les plus bizarres

    Un jeu vidéo centré sur les chats aide les compagnons errants de la Nebraska Humane Society |

    Un jeu vidéo centré sur les chats aide les compagnons errants de la Nebraska Humane Society |

    10 meilleurs méchants du jeu vidéo Star Wars de tous les temps

    10 meilleurs méchants du jeu vidéo Star Wars de tous les temps

  • Developpement web
    • All
    • Language HTML5
    Le cabinet KP satisfait de la loi et de l’ordre dans toute la province

    Le cabinet KP satisfait de la loi et de l’ordre dans toute la province

    L’établissement de normes sera la clé du succès futur du métaverse

    L’établissement de normes sera la clé du succès futur du métaverse

    Vous voulez devenir un ingénieur logiciel Full-Stack ?  Lisez ceci en premier.

    Vous voulez devenir un ingénieur logiciel Full-Stack ? Lisez ceci en premier.

    Conversion d’un objet JavaScript en chaîne

    Conversion d’un objet JavaScript en chaîne

    Emploi 29 août 2021

    EMPLOI (14-08-2022) – Jammu Cachemire Dernières Nouvelles | Tourisme

    Comment héberger un site Web gratuitement à partir de votre PC ou ordinateur portable

    Comment héberger un site Web gratuitement à partir de votre PC ou ordinateur portable

    Le football CSS se prépare pour la deuxième saison du MIAC

    Le football CSS se prépare pour la deuxième saison du MIAC

    Iron Tiger compromet l’application de chat Mimi et cible les utilisateurs Windows, Mac et Linux

    Iron Tiger compromet l’application de chat Mimi et cible les utilisateurs Windows, Mac et Linux

    Apple publie Safari Technology Preview 143 avec des corrections de bogues et des améliorations de performances

    Apple publie Safari Technology Preview 151 avec des corrections de bugs et des améliorations de performances

  • Astuces
    Un tutoriel “Pizza à la Spokane” a fait parler les gens en ligne » TwistedSifter

    Un tutoriel “Pizza à la Spokane” a fait parler les gens en ligne » TwistedSifter

    Microsoft dévoile le nouveau plugin IndexNow pour les sites WordPress

    Comment intégrer des vidéos dans votre site WordPress

    6 meilleurs plugins de révision WordPress pour 2022

    6 meilleurs plugins de révision WordPress pour 2022

    Session Replay amélioré pour les applications déployées en continu: capture de fichiers CSS

    This was H1 2022: Part 2 – Cyber War

    How to Add Schema Markup to Your WordPress Website?

    How to Add Schema Markup to Your WordPress Website?

    8 façons de mettre fin à la mentalité de silo et d’augmenter l’agilité de l’entreprise

    8 façons de mettre fin à la mentalité de silo et d’augmenter l’agilité de l’entreprise

    Pèlerinage artistique |  Avis du demandeur

    Pèlerinage artistique | Avis du demandeur

    Gutenberg 13.8 présente la prise en charge de la typographie fluide et le bloc de citation remanié – WP Tavern

    Gutenberg 13.8 présente la prise en charge de la typographie fluide et le bloc de citation remanié – WP Tavern

    Comment installer le serveur Web Apache sous Linux étape par étape

    Comment installer le serveur Web Apache sous Linux étape par étape

  • Nous contacter
No Result
View All Result
MYCAMER
No Result
View All Result
Home Astuces

Vulnérabilité WordPress dans les addons essentiels pour Elementor

Caleb by Caleb
juillet 30, 2022
in Astuces
0 0
0
Vulnérabilité WordPress dans les addons essentiels pour Elementor
332
SHARES
2k
VIEWS
Share on FacebookShare on TwitterRedditLinkedin


Le plugin Essential Addons for Elementor WordPress, avec plus d’un million d’utilisateurs, a récemment corrigé plusieurs vulnérabilités qui auraient pu permettre à des attaquants malveillants d’exécuter du code arbitraire sur un site Web WordPress ciblé.

Vulnérabilité d’attaque LFI à RCE

Selon le site Web du gouvernement américain NIST, les vulnérabilités du plugin Essential Addons for Elementor ont permis à un attaquant de lancer une attaque Local File Inclusion, qui est un exploit qui permet à un attaquant de faire en sorte qu’une installation WordPress révèle des informations sensibles et lise des informations arbitraires. des dossiers.

À partir de là, l’attaque pourrait conduire à une attaque plus grave appelée Remote Code Execution (RCE). L’exécution de code à distance est une forme d’attaque très sérieuse dans laquelle un pirate est capable d’exécuter du code arbitraire sur un site WordPress et de causer une série de dommages, y compris une prise de contrôle complète du site.

Par exemple, une attaque par inclusion de fichiers locaux peut être accomplie en modifiant les paramètres d’URL en quelque chose qui pourrait révéler des informations sensibles.

Cela a été rendu possible car le plugin Essential Addons for Elementor WordPress n’a pas correctement validé et nettoyé les données.

La désinfection des données est un processus visant à limiter le type d’informations pouvant être saisies. En termes simples, le nettoyage des données peut être considéré comme un verrou qui n’autorise qu’une entrée spécifique, une clé avec un modèle spécifique. Un échec de l’assainissement des données pourrait être analogue à un verrou qui permet à n’importe quelle clé de l’ouvrir.

Selon le gouvernement des États-Unis Base de données nationale sur la vulnérabilité:

«Le plugin Essential Addons for Elementor WordPress avant 5.0.5 ne valide pas et ne nettoie pas certaines données de modèle avant qu’elles ne soient incluses dans les instructions, ce qui pourrait permettre à des attaquants non authentifiés d’effectuer une attaque par inclusion de fichiers locaux et de lire des fichiers arbitraires sur le serveur, cela pourrait également conduire vers RCE via des fichiers téléchargés par l’utilisateur ou d’autres techniques LFI vers RCE.

Site de sécurité WPScan qui ont été les premiers à découvrir découvrir et signaler la vulnérabilité publié la description suivante :

“Le plugin ne valide pas et ne nettoie pas certaines données de modèle avant de les inclure dans les déclarations, ce qui pourrait permettre à des attaquants non authentifiés d’effectuer une attaque par inclusion de fichiers locaux et de lire des fichiers arbitraires sur le serveur, cela pourrait également conduire à RCE via des fichiers téléchargés par l’utilisateur ou d’autres LFI aux techniques RCE.

Addons essentiels pour Elementor patché

La vulnérabilité a été annoncée sur le site de la base de données nationale sur les vulnérabilités le 1er février 2022.

Mais la version “Lite” du plugin Essential Addons for Elementor corrige des vulnérabilités depuis fin janvier, selon le journal des modifications d’Essential Addons Lite.

Un journal des modifications est un fichier journal de toutes les modifications apportées pour chaque version d’un logiciel, comme un plugin WordPress, qui est mis à jour. C’est un enregistrement de tout ce qui a été changé.

Le but du journal des modifications est d’enregistrer ce qui a été modifié ainsi que de fournir de la transparence aux utilisateurs du logiciel, qui peuvent l’examiner avant la mise à jour et décider si la mise à jour est importante ou prendre du temps et tester le plugin sur un site intermédiaire pour voir si les modifications ont un impact sur d’autres plugins et le thème utilisé.

Curieusement, le journal des modifications de la version Pro ne mentionne que “Quelques corrections de bugs mineurs et améliorations” mais ne mentionne aucunement les correctifs de sécurité.

Capture d’écran des addons essentiels pour Elementor Pro Changelog

Journal des modifications pour les compléments essentiels pour le plugin Elementor

Pourquoi les informations sur le correctif de sécurité manquent-elles dans la version Pro du plugin WordPress ?

Journal des modifications pour la version Lite d’Essential Addons for Elementor Lite Plugin

Le journal des modifications de la version Lite couvrant les versions 5.0.3 à 5.0.5 a été mis à jour du 25 au 28 janvier 2022 pour résoudre les problèmes suivants :

  • Corrigé : nettoyage des paramètres dans les widgets dynamiques
  • Amélioré : Chemins d’accès aux fichiers de modèles épurés pour l’amélioration de la sécurité
  • Amélioré : sécurité renforcée pour empêcher l’inclusion d’un serveur distant de formulaire de fichier indésirable via une requête ajax

Le changelog note qu’aujourd’hui, le 2 février 2022, l’amélioration de sécurité suivante a été effectuée pour la version 5.0.6 :

  • Amélioré : désinfection, validation et échappement des données pour l’amélioration de la sécurité

Quelle est la version la plus sûre des compléments essentiels pour le plugin Elementor ?

La base de données du gouvernement américain sur les vulnérabilités n’a pas attribué de score de gravité, il n’est donc pas clair pour le moment à quel point la vulnérabilité est grave.

Cependant, une vulnérabilité d’exécution de code à distance est particulièrement préoccupante, c’est donc probablement une bonne idée de mettre à jour vers la toute dernière version du plugin Essential Addons.

Le site Web WPScan indique que les vulnérabilités ont été corrigées dans Essential Addons for Elementor Plugin version 5.0.5.

Cependant, le journal des modifications du plugin pour la version Lite du plugin indique que la version 5.0.6 corrige un problème supplémentaire de désinfection des données aujourd’hui, le 22 février 2022.

Il peut donc être prudent de mettre à jour au moins la version 5.0.6.

Citations

Lire le rapport de vulnérabilité WPScan

Addons essentiels pour Elementor < 5.0.5 - LFI non authentifié

Lire le rapport du gouvernement des États-Unis sur la vulnérabilité

CVE-2022-0320 Détail

Lisez le journal des modifications Essential Addons for Elementor Plugin Lite

Addons essentiels pour Elementor Lite Plugin Changelog

Lisez le journal des modifications pour les compléments essentiels pour Elementor Pro

Addons essentiels pour Elementor Pro Changelog



— to www.searchenginejournal.com

Get real time update about this post categories directly on your device, subscribe now.

Unsubscribe
Caleb

Caleb

Stay Connected

  • 86.7k Followers
  • 172k Subscribers

Articles populaires

  • 10 problèmes courants de l’iPhone 13 et comment les résoudre

    10 problèmes courants de l’iPhone 13 et comment les résoudre

    4507 shares
    Share 1803 Tweet 1127
  • Comment installer phpMyAdmin sur Debian 11 Bullseye (Apache)

    1187 shares
    Share 475 Tweet 297
  • Le procès dit que le jeu d’arcade Key Master de Sega est intentionnellement truqué

    425 shares
    Share 170 Tweet 106
  • Comment réparer le décalage d’Instagram sur iPhone et Android

    520 shares
    Share 208 Tweet 130
  • Comment réparer “Impossible de charger l’image. Appuyez pour réessayer “Erreur Instagram

    347 shares
    Share 139 Tweet 87

Follow Our Page

Follow Us

    Go to the Customizer > JNews : Social, Like & View > Instagram Feed Setting, to connect your Instagram account.
Facebook Twitter Youtube Vimeo Instagram

We bring you the best Premium WordPress Themes that perfect for news, magazine, personal blog, etc. Check our landing page for details.

Category

  • Actualité
  • Article Sponsorisé
  • Astuces
  • Featured
  • Jeu vidéo
  • Language HTML5
  • Mobile
  • portrait
  • Technologies
  • Uncategorized

Recent News

Cette horrible publicité oubliée reflète la “jossification” dévorante des jeux vidéo

Cette horrible publicité oubliée reflète la “jossification” dévorante des jeux vidéo

août 16, 2022
COD Warzone Down ce 16 août avec le code d’erreur 11328, Raven enquête

COD Warzone Down ce 16 août avec le code d’erreur 11328, Raven enquête

août 16, 2022

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • Actualité
  • Mobile
  • Jeu vidéo
  • Developpement web
  • Astuces
  • Nous contacter

© 2022 JNews - Premium WordPress news & magazine theme by Jegtheme.

Welcome Back!

Sign In with Facebook
Sign In with Google
OR

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
fr French
ar Arabiczh-CN Chinese (Simplified)en Englishfr Frenchde Germanit Italianru Russianes Spanish

Add New Playlist

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.