Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins.
Voici l’entrée dans le journal des modifications relative au plugin Elementor corrigé que Brainstorm Force a corrigé en mars 2021:
- Version 1.30.0 – Corrigé – 30 mars 2021
Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité.
Vulnérabilités du plugin Brainstorm Force Elementor
Les éditeurs du plugin Ultimate Addons for Elementor ont notifié aux clients une vulnérabilité affectant deux de leurs plugins.
Publicité
Continuer la lecture ci-dessous
Les deux plugins concernés sont des addons pour le populaire plugin de création de pages Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder.
Les plugins addons avec des vulnérabilités sont publiés par un tiers, Brainstorm Force.
Les plugins concernés pour Elementor sont:
- Compléments ultimes pour Elementor
- Elementor – Modèle d’en-tête, de pied de page et de blocs
Un e-mail envoyé par Brainstorm Force indiquait qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.
Publicité
Continuer la lecture ci-dessous
Selon l’email:
«Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence.
Celles-ci sont très similaires à celles que l’équipe Elementor a récemment corrigées dans sa version 3.1.2. »
Capture d’écran de l’e-mail Brainstorm Force
La vulnérabilité Elementor référencée par Brainstorm Force est connue sous le nom de vulnérabilité de script intersite stocké, une vulnérabilité qui permettait à des pirates malveillants d’organiser une prise de contrôle complète du site.
(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)
Vulnérabilité des scripts intersites stockés
Brainstorm Force n’a pas dit explicitement que l’exploit corrigé était une vulnérabilité de script intersite stockée. Ils ont seulement comparé l’exploit corrigé à celui qui avait été corrigé par le logiciel de création de pages Elementor.
Une vulnérabilité de script intersite stocké est une vulnérabilité dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelée Reflected XSS qui dépend du clic sur un lien.
Publicité
Continuer la lecture ci-dessous
Avec une vulnérabilité XSS stockée, il n’est pas nécessaire de cliquer sur un lien, la vulnérabilité existe sur le site Web affecté.
Wordfence n’a pas publié de détails
Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor.
Mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de leurs plugins étaient des exploits Stored XSS. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.
Versions fixes des addons Elementor
The Elementor – Modèle d’en-tête, de pied de page et de blocs
Le modèle Elementor – Header, Footer & Blocks a été mis à jour le 31 mars 2021 vers la version 1.5.8.
Publicité
Continuer la lecture ci-dessous
Selon le journal des modifications qui documente ce que contiennent les mises à jour, cette mise à jour l’a renforcé contre une vulnérabilité.
C’est ce que le changelog documenté:
«1.5.8
Correction: options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »
Le fait que l’éditeur ait besoin de durcissement donne un indice cette suggère que la vulnérabilité peut être celle qui exige qu’un pirate ait des privilèges de niveau abonné.
Mais cela n’a pas encore été officiellement confirmé pour le moment.
Compléments ultimes pour Elementor
Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.
La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – Header, Footer & Blocks Template.
Publicité
Continuer la lecture ci-dessous
Selon les addons ultimes pour Elementor changelog:
“Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité.”
Mettre à jour immédiatement
Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.
Les dernières versions corrigées du logiciel sont:
- The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
- Compléments ultimes pour Elementor 1.30.0
