Essential Addons for Elementor est un plugin populaire pour les sites WordPress, notamment parce qu'il compte plus d'un million d'installations actives. Le problème, c'est qu'il contient une faille critique de type "exécution de code à distance" (RCE). Faisons le point.

En exploitant cette faille de sécurité, un attaquant peut réussir à charger un fichier sur votre site, par exemple un fichier PHP, afin d'exécuter du code malveillant. Cette vulnérabilité est particulièrement dangereuse, car elle peut être exploitée à distance et sans être authentifié sur le site. D'après les chercheurs en sécurité de PatchStack, à l'origine de cette découverte, la vulnérabilité se situe au sein des fonctions "ajax_load_more" et "ajax_eael_product_gallery".

Si vous utilisez le plugin Essential Addons for Elementor en version 5.0.4 ou inférieur, votre site est peut-être vulnérable ! Je dis "peut-être", car il faut que les widgets "dynamic gallery" et "product gallery" soient actifs sur le site, en plus d'utiliser une version vulnérable.

Ce qui est surprenant, c'est qu'il y a déjà eu deux tentatives pour patcher cette vulnérabilité, et c'est pour ça qu'il y a eu les versions 5.0.3 puis 5.0.4 du plugin. Sauf que le correctif apporté n'était pas suffisant puisque les chercheurs de PatchStack sont parvenus à le contourner : d'où la sortie d'une nouvelle version, en l'occurrence la 5.0.5 pour corriger définitivement ce problème de sécurité.

Cette version est disponible depuis le 28 janvier 2022 et elle est progressivement installée sur les sites WordPress par les webmasters. Même s'il y a plus d'un million d'installations actives de ce plugin, certains sites sont déjà patchés. Malgré tout, d'après les statistiques de téléchargements WordPress, il en resterait encore environ 600 000 à patcher.

Si vous utilisez ce plugin WordPress, vous devez effectuer la mise à jour dès que possible afin de passer du bon côté, c'est-à-dire du côté des sites protégés contre cette faille de sécurité !

Source

 

The post WordPress : une faille RCE dans un plugin affecte environ 600 000 sites first appeared on IT-Connect.